RotaJakiro е нов злонамерен софтвер на Линукс кој се претставува како системски процес

Истражувачката лабораторија 360 Netlab извести за идентификација на нов малициозен софтвер за Linux, со кодно име RotaJakiro и вклучува имплементација на задна врата што ви овозможува да го контролирате системот. Злонамерниот софтвер можел да го инсталираат напаѓачите откако ги искористиле незакрпените пропусти во системот или погодиле слаби лозинки.

Задната врата беше откриена за време на анализата на сомнителен сообраќај од еден од системските процеси, идентификувани при анализа на структурата на ботнетот користен за нападот DDoS. Пред ова, RotaJakiro остана неоткриен три години; особено, првите обиди за скенирање датотеки со хашови MD5 што одговараат на идентификуваниот малициозен софтвер во услугата VirusTotal беа датирани од мај 2018 година.

Една од карактеристиките на RotaJakiro е употребата на различни техники за камуфлажа кога работи како непривилегиран корисник и root. За да го скрие своето присуство, задна врата ги користеше имињата на процесите systemd-daemon, session-dbus и gvfsd-helper, кои, со оглед на нередот на модерните дистрибуции на Linux со секакви услужни процеси, на прв поглед изгледаа легитимни и не предизвикуваа сомнеж.

Кога се извршуваат со root права, скриптите /etc/init/systemd-agent.conf и /lib/systemd/system/sys-temd-agent.service беа креирани за да се активира малициозниот софтвер, а самата злонамерна извршна датотека беше лоцирана како / bin/systemd/systemd -daemon и /usr/lib/systemd/systemd-daemon (функционалноста беше дуплирана во две датотеки). Кога работи како стандарден корисник, се користеше датотеката за автоматско стартување $HOME/.config/au-tostart/gnomehelper.desktop и беа направени промени во .bashrc, а извршната датотека беше зачувана како $HOME/.gvfsd/.profile/gvfsd -помошник и $HOME/ .dbus/sessions/session-dbus. Двете извршни датотеки беа лансирани истовремено, од кои секоја го следеше присуството на другата и ја обновуваше ако прекине.

За да се сокријат резултатите од нивните активности во задна врата, беа користени неколку алгоритми за шифрирање, на пример, AES беше користен за шифрирање на нивните ресурси, а комбинацијата на AES, XOR и ROTATE во комбинација со компресија користејќи ZLIB беше искористена за да се скрие каналот за комуникација. со контролниот сервер.

За да прима контролни команди, малициозниот софтвер контактирал со 4 домени преку мрежната порта 443 (каналот за комуникација користел свој протокол, а не HTTPS и TLS). Домените (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) беа регистрирани во 2015 година и хостирани од Киевскиот хостинг провајдер Deltahost. 12 основни функции беа интегрирани во задна врата, што овозможи вчитување и извршување на приклучоци со напредна функционалност, пренос на податоци од уредот, пресретнување чувствителни податоци и управување со локални датотеки.

Извор: opennet.ru