360 Netlab ғылыми-зерттеу зертханасы Linux жүйесіне арналған RotaJakiro кодтық атымен және жүйені басқаруға мүмкіндік беретін бэкдорды іске асыруды қоса алғанда, жаңа зиянды бағдарламаны анықтау туралы хабарлады. Зиянды бағдарламалық жасақтаманы шабуылдаушылар жүйедегі түзетілмеген осалдықтарды пайдаланғаннан кейін немесе әлсіз құпия сөздерді болжағаннан кейін орнатуы мүмкін.
Бэкдор DDoS шабуылы үшін пайдаланылатын ботнет құрылымын талдау кезінде анықталған жүйелік процестердің бірінен күдікті трафикті талдау кезінде анықталды. Бұған дейін RotaJakiro үш жыл бойы анықталмады; атап айтқанда, VirusTotal қызметіндегі анықталған зиянды бағдарламаға сәйкес келетін MD5 хэштері бар файлдарды сканерлеудің алғашқы әрекеттері 2018 жылдың мамырында болды.
RotaJakiro мүмкіндіктерінің бірі артықшылықсыз пайдаланушы және түбір ретінде іске қосылған кезде әртүрлі камуфляж әдістерін қолдану болып табылады. Өзінің қатысуын жасыру үшін бэкдор systemd-daemon, session-dbus және gvfsd-helper процесс атауларын пайдаланды, олар қызмет көрсету процестерінің барлық түрлерімен заманауи Linux дистрибутивтерінің ретсіздігін ескере отырып, бір қарағанда заңды болып көрінді және күдік туғызбады.
Түбірлік құқықтармен іске қосылған кезде зиянды бағдарламаны белсендіру үшін /etc/init/systemd-agent.conf және /lib/systemd/system/sys-temd-agent.service сценарийлері жасалды және зиянды орындалатын файлдың өзі / ретінде орналасқан. bin/systemd/systemd -daemon және /usr/lib/systemd/systemd-daemon (функционалдылық екі файлда көшірілді). Стандартты пайдаланушы ретінде іске қосылған кезде $HOME/.config/au-tostart/gnomehelper.desktop автобастау файлы пайдаланылды және .bashrc файлына өзгертулер енгізілді және орындалатын файл $HOME/.gvfsd/.profile/gvfsd ретінде сақталды. -анықтамашы және $HOME/ .dbus/sessions/session-dbus. Орындалатын файлдардың екеуі де бір уақытта іске қосылды, олардың әрқайсысы екіншісінің болуын бақылап, егер ол тоқтатылған болса, оны қалпына келтірді.
Олардың әрекеттерінің нәтижелерін бэкдорда жасыру үшін бірнеше шифрлау алгоритмдері пайдаланылды, мысалы, олардың ресурстарын шифрлау үшін AES пайдаланылды және байланыс арнасын жасыру үшін ZLIB көмегімен қысумен бірге AES, XOR және ROTATE комбинациясы пайдаланылды. басқару серверімен.
Басқару пәрмендерін алу үшін зиянды бағдарлама желілік порт 4 арқылы 443 доменмен байланысады (байланыс арнасы HTTPS және TLS емес, өз протоколын пайдаланды). Домендер (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com және news.thaprior.net) 2015 жылы тіркелді және оларды Киев Deltahost хостинг провайдері орналастырды. Бэкдорға 12 негізгі функция біріктірілді, бұл кеңейтілген функционалдығы бар плагиндерді жүктеуге және орындауға, құрылғы деректерін жіберуге, құпия деректерді ұстауға және жергілікті файлдарды басқаруға мүмкіндік берді.
Ақпарат көзі: opennet.ru