RotaJakiro е нов малициозен софтвер за Linux, маскиран како системски процес

Истражувачката лабораторија 360 Netlab објави откривање на нов малициозен софтвер за Linux, со кодно име RotaJakiro, кој вклучува задна врата што овозможува контрола на системот. Малициозниот софтвер можеби е инсталиран од напаѓачи кои ги искористуваат незакрпените ранливости во системот или слаби лозинки со грубо присилување.

Задната врата беше откриена за време на анализата на сомнителен сообраќај од еден од системските процеси, идентификувани при анализа на структурата на ботнетот користен за нападот DDoS. Пред ова, RotaJakiro остана неоткриен три години; особено, првите обиди за скенирање датотеки со хашови MD5 што одговараат на идентификуваниот малициозен софтвер во услугата VirusTotal беа датирани од мај 2018 година.

Карактеристичните карактеристики на RotaJakiro вклучуваат употреба на разни техники на камуфлажа кога работи како непривилегиран корисник и root. За да го прикрие своето присуство, задна врата ги користеше имињата на процесите systemd-daemon, session-dbus и gvfsd-helper, кои, со оглед на нередот на модерните дистрибуции, Linux сите видови официјални процеси, на прв поглед изгледаа легитимни и не предизвикаа сомнеж.

Кога се извршуваат со root права, скриптите /etc/init/systemd-agent.conf и /lib/systemd/system/sys-temd-agent.service беа креирани за да се активира малициозниот софтвер, а самата злонамерна извршна датотека беше лоцирана како / bin/systemd/systemd -daemon и /usr/lib/systemd/systemd-daemon (функционалноста беше дуплирана во две датотеки). Кога работи како стандарден корисник, се користеше датотеката за автоматско стартување $HOME/.config/au-tostart/gnomehelper.desktop и беа направени промени во .bashrc, а извршната датотека беше зачувана како $HOME/.gvfsd/.profile/gvfsd -помошник и $HOME/ .dbus/sessions/session-dbus. Двете извршни датотеки беа лансирани истовремено, од кои секоја го следеше присуството на другата и ја обновуваше ако прекине.

За да ги скрие резултатите од своите активности, задна врата користеше неколку алгоритми за енкрипција, на пример, AES беше користен за енкрипција на своите ресурси и за криење на комуникацискиот канал со контролниот систем. сервер комбинација од AES, XOR и ROTATE во комбинација со компресија користејќи ZLIB.

За да прима контролни команди, малициозниот софтвер пристапил до четири домени преку мрежниот порт 443 (комуникацискиот канал користел свој протокол, а не HTTPS или TLS). Домените (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) биле регистрирани во 2015 година и хостирани од страна на компанијата со седиште во Киев. провајдер на хостинг Deltahost. Задната врата интегрираше 12 основни функции што му овозможуваа да вчитува и извршува додатоци со напредна функционалност, да пренесува податоци од уредот, да пресретнува чувствителни податоци и да управува со локални датотеки.

Извор: opennet.ru