Laboratorium riset 360 Netlab nglaporake identifikasi malware anyar kanggo Linux, kanthi jeneng kode RotaJakiro lan kalebu implementasine lawang mburi sing ngidini sampeyan ngontrol sistem kasebut. Malware bisa diinstal dening panyerang sawise eksploitasi kerentanan unpatched ing sistem utawa ngira sandhi sing lemah.
Backdoor ditemokake sajrone analisis lalu lintas sing curiga saka salah sawijining proses sistem, sing diidentifikasi sajrone analisis struktur botnet sing digunakake kanggo serangan DDoS. Sadurunge iki, RotaJakiro tetep ora dideteksi sajrone telung taun; utamane, upaya pertama kanggo mindhai file nganggo hash MD5 sing cocog karo malware sing diidentifikasi ing layanan VirusTotal tanggal Mei 2018.
Salah siji fitur RotaJakiro nggunakake Techniques kamuflase beda nalika mlaku minangka pangguna unprivileged lan ROOT. Kanggo ndhelikake ngarsane, backdoor nggunakake jeneng proses systemd-daemon, session-dbus lan gvfsd-helper, sing, amarga keruwetan distribusi Linux modern kanthi macem-macem proses layanan, sepisanan katon sah lan ora nyebabake rasa curiga.
Nalika mbukak kanthi hak ROOT, skrip /etc/init/systemd-agent.conf lan /lib/systemd/system/sys-temd-agent.service digawe kanggo ngaktifake malware, lan file eksekusi sing mbebayani dhewe dumunung minangka / bin/systemd/systemd -daemon lan /usr/lib/systemd/systemd-daemon (fungsi diduplikasi ing rong file). Nalika mlaku minangka pangguna standar, file autostart $ HOME / .config / au-tostart / gnomehelper.desktop digunakake lan owah-owahan digawe kanggo .bashrc, lan file eksekusi disimpen minangka $ HOME / .gvfsd / .profile / gvfsd -helper lan $ HOME / .dbus / sesi / sesi-dbus. Loro-lorone file sing bisa dieksekusi diluncurake bebarengan, saben-saben ngawasi anane liyane lan dibalekake maneh yen mandheg.
Kanggo ndhelikake asil aktivitas ing backdoor, sawetara algoritma enkripsi digunakake, contone, AES digunakake kanggo encrypt sumber daya, lan kombinasi AES, XOR lan ROTATE ing kombinasi karo kompresi nggunakake ZLIB digunakake kanggo ndhelikake saluran komunikasi. karo server kontrol.
Kanggo nampa perintah kontrol, malware ngubungi 4 domain liwat port jaringan 443 (saluran komunikasi nggunakake protokol dhewe, dudu HTTPS lan TLS). Domain kasebut (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com lan news.thaprior.net) didaftar ing 2015 lan dianakake dening panyedhiya hosting Kyiv Deltahost. 12 fungsi dhasar digabungake menyang backdoor, sing ngidini mbukak lan nglakokake plugin kanthi fungsi lanjut, ngirim data piranti, nyegat data sensitif lan ngatur file lokal.
Source: opennet.ru