研究ラボ360 Netlabは、新たなマルウェアの発見を報告した。 Linuxコードネーム「RotaJakiro」と呼ばれるこのマルウェアには、システム制御を可能にするバックドアが含まれている。このマルウェアは、システムに存在する未修正の脆弱性を悪用したり、脆弱なパスワードを総当たり攻撃したりした攻撃者によってインストールされた可能性がある。
バックドアは、DDoS 攻撃に使用されたボットネットの構造の分析中に特定されたシステム プロセスの 5 つからの疑わしいトラフィックの分析中に発見されました。これに先立ち、RotaJakiro は 2018 年間検出されずにいましたが、VirusTotal サービスで検出されたマルウェアと一致する MDXNUMX ハッシュを持つファイルをチェックする最初の試みは XNUMX 年 XNUMX 月に遡ります。
RotaJakiro の特徴は、非特権ユーザーおよび root として実行する際にさまざまな偽装技術を使用することです。その存在を隠すために、バックドアは systemd-daemon、session-dbus、および gvfsd-helper というプロセス名を使用しました。これは、現代のディストリビューションの煩雑さを考えると、 Linux あらゆる公式手続きは、一見すると正当に見え、疑念を抱かせるものではなかった。
root として実行すると、マルウェアを起動するためのスクリプト /etc/init/systemd-agent.conf と /lib/systemd/system/sys-temd-agent.service が作成され、悪意のある実行ファイル自体は /bin/systemd/systemd-daemon と /usr/lib/systemd/systemd-daemon に配置されました(機能は 2 つのファイルに重複していました)。標準ユーザーとして実行すると、自動実行ファイル $HOME/.config/au-tostart/gnomehelper.desktop が使用され、.bashrc が変更され、実行ファイルは $HOME/.gvfsd/.profile/gvfsd-helper と $HOME/.dbus/sessions/session-dbus に保存されました。両方の実行ファイルは同時に起動され、それぞれがもう一方のファイルの存在を監視し、終了した場合に復元します。
活動の結果を隠すために、バックドアはいくつかの暗号化アルゴリズムを使用していました。たとえば、リソースを暗号化するためにAESが使用され、制御との通信チャネルが隠されていました。 サーバ AES、XOR、ROTATE を ZLIB を使用した圧縮と組み合わせたものです。
制御コマンドを受信するために、マルウェアはネットワークポート443(通信チャネルはHTTPSやTLSではなく独自のプロトコルを使用)を介して4つのドメインにアクセスしました。これらのドメイン(cdn.mirror-codes.net、status.sublineover.net、blog.eduelects.com、news.thaprior.net)は2015年に登録され、キエフに拠点を置く組織によってホストされていました。 ホスティングプロバイダー Deltahost。このバックドアには12の基本機能が統合されており、高度な機能を備えたプラグインの読み込みと実行、デバイスデータの送信、機密データの傍受、ローカルファイルの管理が可能でした。
出所: オープンネット.ru
