RotaJakiro는 시스템 프로세스로 가장하는 새로운 Linux 악성 코드입니다.

연구소 360 Netlab은 코드명이 RotaJakiro이고 시스템을 제어할 수 있는 백도어 구현을 포함하는 새로운 Linux용 악성 코드가 식별되었다고 보고했습니다. 공격자가 시스템의 패치되지 않은 취약점을 악용하거나 취약한 비밀번호를 추측한 후 악성 코드를 설치했을 수 있습니다.

해당 백도어는 DDoS 공격에 사용된 봇넷 구조 분석 과정에서 파악된 시스템 프로세스 중 하나에서 발생한 의심스러운 트래픽을 분석하던 중 발견됐다. 그 전에는 RotaJakiro가 5년 동안 탐지되지 않은 채 남아 있었습니다. 특히 VirusTotal 서비스에서 식별된 악성 코드와 일치하는 MD2018 해시가 있는 파일을 검사하려는 첫 번째 시도는 XNUMX년 XNUMX월에 이루어졌습니다.

RotaJakiro의 기능 중 하나는 권한이 없는 사용자 및 루트로 실행할 때 다양한 위장 기술을 사용하는 것입니다. 백도어는 자신의 존재를 숨기기 위해 systemd-daemon, session-dbus 및 gvfsd-helper 프로세스 이름을 사용했습니다. 이는 모든 종류의 서비스 프로세스가 포함된 최신 Linux 배포판의 혼란을 고려할 때 언뜻 보기에 합법적인 것처럼 보였고 의심을 불러일으키지 않았습니다.

루트 권한으로 실행하면 /etc/init/systemd-agent.conf, /lib/systemd/system/sys-temd-agent.service 스크립트가 생성되어 악성코드를 활성화시켰으며, 악성 실행 파일 자체는 / bin/systemd/systemd -daemon 및 /usr/lib/systemd/systemd-daemon(기능이 두 파일에 중복됨) 표준 사용자로 실행할 때 자동 시작 파일 $HOME/.config/au-tostart/gnomehelper.desktop을 사용하고 .bashrc가 변경되었으며 실행 파일이 $HOME/.gvfsd/.profile/gvfsd로 저장되었습니다. -helper 및 $HOME/.dbus/sessions/session-dbus. 두 실행 파일이 동시에 실행되었으며, 각 파일은 서로의 존재를 모니터링하고 종료되면 복원했습니다.

백도어에서 활동 결과를 숨기기 위해 여러 암호화 알고리즘이 사용되었습니다. 예를 들어 AES를 사용하여 리소스를 암호화하고 AES, XOR 및 ROTATE의 조합과 ZLIB를 사용한 압축을 사용하여 통신 채널을 숨겼습니다. 제어 서버와 함께.

악성코드는 제어 명령을 수신하기 위해 네트워크 포트 4(통신 채널은 HTTPS 및 TLS가 아닌 자체 프로토콜을 사용함)을 통해 443개 도메인에 접속했습니다. 도메인(cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com 및 news.thaprior.net)은 2015년에 등록되었으며 Kyiv 호스팅 제공업체 Deltahost에서 호스팅되었습니다. 12가지 기본 기능이 백도어에 통합되어 고급 기능이 포함된 플러그인 로드 및 실행, 장치 데이터 전송, 민감한 데이터 가로채기 및 로컬 파일 관리가 가능해졌습니다.

출처 : opennet.ru