Fuerschungslaboratoire 360 Netlab huet d'Identifikatioun vun neie Malware fir Linux gemellt, mam Codename RotaJakiro an och d'Ëmsetzung vun enger Backdoor déi Iech erlaabt de System ze kontrolléieren. D'Malware kéint vun Ugräifer installéiert ginn nodeems se onpatchéiert Schwachstelle am System exploitéiert hunn oder schwaach Passwierder roden.
D'Backdoor gouf entdeckt während der Analyse vum verdächtege Verkéier vun engem vun de Systemprozesser, identifizéiert während der Analyse vun der Struktur vum Botnet fir den DDoS Attack benotzt. Virdru blouf de RotaJakiro fir dräi Joer onentdeckt; besonnesch déi éischt Versich fir Dateien mat MD5-Hashes ze scannen, déi mat der identifizéierter Malware am VirusTotal-Service passen, goufen am Mee 2018 datéiert.
Ee vun de Fonctiounen vun RotaJakiro ass d'Benotzung vu verschiddene Tarnung Techniken wann Dir als onprivilegiéierten Benotzer an root lafen. Fir seng Präsenz ze verstoppen, huet d'Backdoor d'Prozessnamen systemd-daemon, session-dbus an gvfsd-helper benotzt, déi, well d'Cutter vun modernen Linux Verdeelungen mat all Zorte vu Serviceprozesser, op den éischte Bléck legitim ausgesinn an net Mësstrauen erwächt hunn.
Wann Dir mat Rootrechter leeft, goufen d'Skripte /etc/init/systemd-agent.conf an /lib/systemd/system/sys-temd-agent.service erstallt fir d'Malware z'aktivéieren, an déi béiswëlleg ausführbar Datei selwer war als / bin/systemd/systemd -daemon an /usr/lib/systemd/systemd-daemon (Funktionalitéit gouf an zwee Dateien duplizéiert). Wann Dir als Standard Benotzer leeft, gouf d'Autostart Datei $HOME/.config/au-tostart/gnomehelper.desktop benotzt an d'Ännerunge goufen op .bashrc gemaach, an déi ausführbar Datei gouf als $HOME/.gvfsd/.profile/gvfsd gespäichert. -Helfer an $HOME/ .dbus/sessions/session-dbus. Béid ausführbar Dateie goufen gläichzäiteg lancéiert, jidderee vun deenen d'Präsenz vun deem aneren iwwerwaacht huet a se restauréiert wann et ofgeschloss ass.
Fir d'Resultater vun hiren Aktivitéiten am Backdoor ze verstoppen, goufen e puer Verschlësselungsalgorithmen benotzt, zum Beispill, AES gouf benotzt fir hir Ressourcen ze verschlësselen, an eng Kombinatioun vun AES, XOR a ROTATE a Kombinatioun mat Kompressioun mat ZLIB gouf benotzt fir de Kommunikatiounskanal ze verstoppen mat der Kontroll Server.
Fir Kontrollbefehl ze kréien, huet d'Malware 4 Domänen iwwer Netzwierkport 443 kontaktéiert (de Kommunikatiounskanal huet säin eegene Protokoll benotzt, net HTTPS an TLS). D'Domänen (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com an news.thaprior.net) goufen 2015 registréiert a vum Kyiv Hosting Provider Deltahost gehost. 12 Basisfunktiounen goufen an der Backdoor integréiert, déi Plugins mat fortgeschratt Funktionalitéit lueden an ausféieren, Apparatdaten iwwerdroen, sensibel Donnéeën abfangen an lokal Dateien verwalten.
Source: opennet.ru