ಸಂಶೋಧನಾ ಪ್ರಯೋಗಾಲಯ 360 Netlab Linux ಗಾಗಿ ಹೊಸ ಮಾಲ್ವೇರ್ ಗುರುತಿಸುವಿಕೆಯನ್ನು ವರದಿ ಮಾಡಿದೆ, RotaJakiro ಎಂಬ ಸಂಕೇತನಾಮ ಮತ್ತು ಸಿಸ್ಟಮ್ ಅನ್ನು ನಿಯಂತ್ರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಹಿಂಬಾಗಿಲನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ. ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಅನ್ಪ್ಯಾಚ್ ಮಾಡದ ದುರ್ಬಲತೆಗಳನ್ನು ದುರ್ಬಳಕೆ ಮಾಡಿಕೊಂಡ ನಂತರ ಅಥವಾ ದುರ್ಬಲ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಊಹಿಸಿದ ನಂತರ ದಾಳಿಕೋರರು ಮಾಲ್ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿರಬಹುದು.
ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಒಂದರಿಂದ ಅನುಮಾನಾಸ್ಪದ ದಟ್ಟಣೆಯ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಹಿಂಬಾಗಿಲನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು, DDoS ದಾಳಿಗೆ ಬಳಸಲಾದ ಬೋಟ್ನೆಟ್ನ ರಚನೆಯ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ. ಇದಕ್ಕೂ ಮೊದಲು, RotaJakiro ಮೂರು ವರ್ಷಗಳವರೆಗೆ ಪತ್ತೆಯಾಗಲಿಲ್ಲ; ನಿರ್ದಿಷ್ಟವಾಗಿ, ವೈರಸ್ಟೋಟಲ್ ಸೇವೆಯಲ್ಲಿ ಗುರುತಿಸಲಾದ ಮಾಲ್ವೇರ್ಗೆ ಹೊಂದಿಕೆಯಾಗುವ MD5 ಹ್ಯಾಶ್ಗಳೊಂದಿಗೆ ಫೈಲ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಮೊದಲ ಪ್ರಯತ್ನಗಳು ಮೇ 2018 ರ ದಿನಾಂಕವಾಗಿದೆ.
RotaJakiro ನ ವೈಶಿಷ್ಟ್ಯಗಳಲ್ಲಿ ಒಂದು ಸವಲತ್ತು ಇಲ್ಲದ ಬಳಕೆದಾರ ಮತ್ತು ರೂಟ್ ಆಗಿ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ವಿಭಿನ್ನ ಮರೆಮಾಚುವ ತಂತ್ರಗಳನ್ನು ಬಳಸುವುದು. ಅದರ ಉಪಸ್ಥಿತಿಯನ್ನು ಮರೆಮಾಡಲು, ಹಿಂಬಾಗಿಲವು systemd-demon, session-dbus ಮತ್ತು gvfsd-helper ಎಂಬ ಪ್ರಕ್ರಿಯೆಯ ಹೆಸರುಗಳನ್ನು ಬಳಸಿತು, ಇದು ಎಲ್ಲಾ ರೀತಿಯ ಸೇವಾ ಪ್ರಕ್ರಿಯೆಗಳೊಂದಿಗೆ ಆಧುನಿಕ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳ ಅಸ್ತವ್ಯಸ್ತತೆಯನ್ನು ನೀಡಿದರೆ, ಮೊದಲ ನೋಟದಲ್ಲಿ ನ್ಯಾಯಸಮ್ಮತವಾಗಿ ಕಾಣುತ್ತದೆ ಮತ್ತು ಅನುಮಾನವನ್ನು ಹುಟ್ಟುಹಾಕಲಿಲ್ಲ.
ಮೂಲ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಚಲಾಯಿಸಿದಾಗ, ಮಾಲ್ವೇರ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಸ್ಕ್ರಿಪ್ಟ್ಗಳು /etc/init/systemd-agent.conf ಮತ್ತು /lib/systemd/system/sys-temd-agent.service ಅನ್ನು ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು / bin/systemd/systemd -daemon ಮತ್ತು /usr/lib/systemd/systemd-daemon (ಕ್ರಿಯಾತ್ಮಕತೆಯನ್ನು ಎರಡು ಫೈಲ್ಗಳಲ್ಲಿ ನಕಲು ಮಾಡಲಾಗಿದೆ). ಪ್ರಮಾಣಿತ ಬಳಕೆದಾರರಾಗಿ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ, ಸ್ವಯಂಪ್ರಾರಂಭ ಫೈಲ್ $HOME/.config/au-tostart/gnomehelper.desktop ಅನ್ನು ಬಳಸಲಾಯಿತು ಮತ್ತು .bashrc ಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು $HOME/.gvfsd/.profile/gvfsd ಎಂದು ಉಳಿಸಲಾಗಿದೆ -ಸಹಾಯಕ ಮತ್ತು $HOME/ .dbus/sessions/session-dbus. ಎರಡೂ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳನ್ನು ಏಕಕಾಲದಲ್ಲಿ ಪ್ರಾರಂಭಿಸಲಾಯಿತು, ಪ್ರತಿಯೊಂದೂ ಇನ್ನೊಂದರ ಉಪಸ್ಥಿತಿಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದು ಕೊನೆಗೊಂಡರೆ ಅದನ್ನು ಮರುಸ್ಥಾಪಿಸುತ್ತದೆ.
ಹಿಂಬಾಗಿಲಿನಲ್ಲಿ ಅವರ ಚಟುವಟಿಕೆಗಳ ಫಲಿತಾಂಶಗಳನ್ನು ಮರೆಮಾಡಲು, ಹಲವಾರು ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತಿತ್ತು, ಉದಾಹರಣೆಗೆ, AES ಅನ್ನು ಅವುಗಳ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತಿತ್ತು ಮತ್ತು ಸಂವಹನ ಚಾನಲ್ ಅನ್ನು ಮರೆಮಾಡಲು ZLIB ಬಳಸಿ ಸಂಕೋಚನದೊಂದಿಗೆ AES, XOR ಮತ್ತು ROTATE ಸಂಯೋಜನೆಯನ್ನು ಬಳಸಲಾಯಿತು. ನಿಯಂತ್ರಣ ಸರ್ವರ್ನೊಂದಿಗೆ.
ನಿಯಂತ್ರಣ ಆಜ್ಞೆಗಳನ್ನು ಸ್ವೀಕರಿಸಲು, ಮಾಲ್ವೇರ್ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ 4 ಮೂಲಕ 443 ಡೊಮೇನ್ಗಳನ್ನು ಸಂಪರ್ಕಿಸಿದೆ (ಸಂವಹನ ಚಾನಲ್ ತನ್ನದೇ ಆದ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿದೆ, HTTPS ಮತ್ತು TLS ಅಲ್ಲ). ಡೊಮೇನ್ಗಳನ್ನು (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ಮತ್ತು news.thaprior.net) 2015 ರಲ್ಲಿ ನೋಂದಾಯಿಸಲಾಗಿದೆ ಮತ್ತು Kyiv ಹೋಸ್ಟಿಂಗ್ ಪ್ರೊವೈಡರ್ ಡೆಲ್ಟಾಹೋಸ್ಟ್ನಿಂದ ಹೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ. 12 ಮೂಲಭೂತ ಕಾರ್ಯಗಳನ್ನು ಹಿಂಬಾಗಿಲಿನಲ್ಲಿ ಸಂಯೋಜಿಸಲಾಗಿದೆ, ಇದು ಸುಧಾರಿತ ಕಾರ್ಯನಿರ್ವಹಣೆಯೊಂದಿಗೆ ಪ್ಲಗಿನ್ಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲು, ಸಾಧನ ಡೇಟಾವನ್ನು ರವಾನಿಸಲು, ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಮತ್ತು ಸ್ಥಳೀಯ ಫೈಲ್ಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.
ಮೂಲ: opennet.ru