Pētniecības laboratorija 360 Netlab ziņoja par jaunas ļaunprātīgas programmatūras identificēšanu operētājsistēmai Linux ar koda nosaukumu RotaJakiro un ietverot aizmugures durvju ieviešanu, kas ļauj kontrolēt sistēmu. Ļaunprātīgo programmatūru varēja instalēt uzbrucēji pēc tam, kad bija izmantojuši sistēmas neaizlabotās ievainojamības vai uzminējuši vājas paroles.
Aizmugures durvis tika atklātas, analizējot aizdomīgu trafiku no viena sistēmas procesa, kas tika identificēts, analizējot DDoS uzbrukumam izmantotā robottīkla struktūru. Pirms tam RotaJakiro palika neatklāts trīs gadus; jo īpaši pirmie mēģinājumi skenēt failus ar MD5 jaucējkodiem, kas atbilst identificētajai ļaunprogrammatūrai pakalpojumā VirusTotal, tika veikti 2018. gada maijā.
Viena no RotaJakiro iezīmēm ir dažādu maskēšanās paņēmienu izmantošana, darbojoties kā nepievilcīgs lietotājs un root. Lai slēptu savu klātbūtni, backdoor izmantoja procesu nosaukumus systemd-daemon, session-dbus un gvfsd-helper, kas, ņemot vērā mūsdienu Linux distribūciju jucekli ar visdažādākajiem servisa procesiem, no pirmā acu uzmetiena šķita likumīgi un neradīja aizdomas.
Palaižot ar root tiesībām, skripti /etc/init/systemd-agent.conf un /lib/systemd/system/sys-temd-agent.service tika izveidoti, lai aktivizētu ļaunprātīgu programmatūru, un pats ļaunprātīgais izpildāmais fails atradās kā / bin/systemd/systemd -daemon un /usr/lib/systemd/systemd-daemon (funkcionalitāte tika dublēta divos failos). Darbojoties kā standarta lietotājs, tika izmantots automātiskās palaišanas fails $HOME/.config/au-tostart/gnomehelper.desktop un tika veiktas izmaiņas .bashrc, un izpildāmais fails tika saglabāts kā $HOME/.gvfsd/.profile/gvfsd. -helper un $HOME/ .dbus/sessions/session-dbus. Abi izpildāmie faili tika palaisti vienlaikus, un katrs no tiem pārraudzīja otra klātbūtni un atjaunoja to, ja tas tika pārtraukts.
Lai slēptu savu darbību rezultātus aizmugures durvīm, tika izmantoti vairāki šifrēšanas algoritmi, piemēram, AES tika izmantots savu resursu šifrēšanai, bet AES, XOR un ROTATE kombinācija kombinācijā ar saspiešanu, izmantojot ZLIB, tika izmantota sakaru kanāla slēpšanai. ar vadības serveri.
Lai saņemtu vadības komandas, ļaunprogrammatūra sazinājās ar 4 domēniem, izmantojot tīkla portu 443 (sakaru kanāls izmantoja savu protokolu, nevis HTTPS un TLS). Domēni (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com un news.thaprior.net) tika reģistrēti 2015. gadā, un tos mitināja Kijevas mitināšanas pakalpojumu sniedzējs Deltahost. Aizmugurē tika integrētas 12 pamatfunkcijas, kas ļāva ielādēt un izpildīt spraudņus ar uzlabotu funkcionalitāti, pārsūtīt ierīces datus, pārtvert sensitīvus datus un pārvaldīt lokālos failus.
Avots: opennet.ru