Ny laboratoara fikarohana 360 Netlab dia nitatitra ny famantarana ny malware vaovao ho an'ny Linux, antsoina hoe RotaJakiro ary tafiditra ao anatin'izany ny fametrahana varavarana ambadika izay ahafahanao mifehy ny rafitra. Ny malware dia mety ho napetrak'ireo mpanafika rehefa avy nanararaotra ny vulnerabilities tsy voafehy tao amin'ny rafitra na naminavina tenimiafina malemy.
Ny backdoor dia hita nandritra ny famakafakana ny fifamoivoizana mampiahiahy avy amin'ny iray amin'ireo fizotry ny rafitra, fantatra nandritra ny fanadihadiana ny firafitry ny botnet ampiasaina amin'ny fanafihana DDoS. Talohan'izay, RotaJakiro dia nijanona tsy hita nandritra ny telo taona; indrindra indrindra, ny andrana voalohany hijerena ireo rakitra miaraka amin'ny hash MD5 mifanandrify amin'ny malware hita ao amin'ny serivisy VirusTotal dia tamin'ny May 2018.
Ny iray amin'ireo endri-javatra amin'ny RotaJakiro dia ny fampiasana teknika camouflage isan-karazany rehefa mihazakazaka ho mpampiasa sy faka tsy manana tombontsoa. Mba hanafenana ny fisiany, ny backdoor dia nampiasa ny anaran'ny process systemd-daemon, session-dbus ary gvfsd-helper, izay, raha jerena ny fikorontanan'ny fizarana Linux maoderina miaraka amin'ny karazana serivisy rehetra, raha vao jerena dia toa ara-dalàna ary tsy niteraka ahiahy.
Rehefa mihazakazaka miaraka amin'ny zon'ny faka, dia noforonina ny script /etc/init/systemd-agent.conf sy /lib/systemd/system/sys-temd-agent.service mba hampavitrika ny malware, ary ny rakitra azo tanterahana ratsy dia hita ho / bin/systemd/systemd -daemon sy /usr/lib/systemd/systemd-daemon (naverina tamin'ny rakitra roa ny fiasa). Rehefa mihazakazaka ho mpampiasa mahazatra, dia nampiasaina ny rakitra autostart $HOME/.config/au-tostart/gnomehelper.desktop ary natao ny fanovana .bashrc, ary voatahiry ho $HOME/.gvfsd/.profile/gvfsd ny rakitra azo ampiasaina. -mpanampy ary $HOME/ .dbus/sessions/session-dbus. Samy natomboka niaraka tamin'izay ny rakitra azo tanterahana, izay samy nanara-maso ny fisian'ny iray hafa ary naverina tamin'ny laoniny raha tapaka izany.
Mba hanafenana ny valin'ny hetsika ataon'izy ireo ao amin'ny backdoor, dia nampiasa algorithm encryption maromaro, ohatra, ny AES dia nampiasaina hanodinana ny loharanony, ary ny fitambaran'ny AES, XOR ary ROTATE miaraka amin'ny famatrarana mampiasa ZLIB dia nampiasaina hanafenana ny fantsona fifandraisana. miaraka amin'ny mpizara fanaraha-maso.
Mba hahazoana baiko fanaraha-maso dia nifandray tamin'ny sehatra 4 tamin'ny alàlan'ny seranan-tsambo 443 ny malware (ny fantsona fifandraisana dia nampiasa ny protocole manokana fa tsy HTTPS sy TLS). Ny domains (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ary news.thaprior.net) dia nosoratana tamin'ny taona 2015 ary nampiantranoin'ny mpampiantrano Kyiv mpampiantrano Deltahost. Ny fiasa fototra 12 dia nampidirina tao amin'ny backdoor, izay nahafahan'ny fampidirana sy ny fanatanterahana ireo plugins miaraka amin'ny fiasa mandroso, ny fandefasana angon-drakitra momba ny fitaovana, ny fisakanana angon-drakitra saro-pady ary ny fitantanana ny rakitra eo an-toerana.
Source: opennet.ru