Судалгааны лаборатори 360 Netlab нь Linux-д зориулсан RotaJakiro кодтой шинэ хортой программыг илрүүлж, системийг удирдах боломжийг олгодог арын хаалганы хэрэгжилтийг оруулсан тухай мэдээлсэн. Энэхүү хортой програмыг халдагчид систем дэх засварлагдаагүй сул талуудыг ашигласан эсвэл сул нууц үгийг тааварласны дараа суулгасан байж магадгүй юм.
Арын хаалга нь DDoS халдлагад ашигласан ботнетийн бүтцэд дүн шинжилгээ хийх явцад тодорхойлогдсон системийн процессуудын аль нэгнийх нь сэжигтэй траффикийг шинжлэх явцад илэрсэн. Үүнээс өмнө РотаЖакиро гурван жилийн турш илрээгүй байсан; ялангуяа VirusTotal үйлчилгээнд илрүүлсэн хортой програмтай таарах MD5 хэш бүхий файлуудыг сканнердах анхны оролдлогууд 2018 оны тавдугаар сард хийгдсэн.
RotaJakiro-ийн нэг онцлог бол давуу эрхгүй хэрэглэгч болон root-ээр ажиллахдаа өнгөлөн далдлах янз бүрийн арга техникийг ашиглах явдал юм. Байгаагаа нуухын тулд арын хаалга нь systemd-daemon, session-dbus болон gvfsd-helper гэсэн процессын нэрийг ашигласан нь орчин үеийн Линукс түгээлтийн бүх төрлийн үйлчилгээний процессуудтай эмх замбараагүй байдлыг харгалзан үзэхэд хууль ёсны мэт санагдаж, сэжиг төрүүлээгүй юм.
Үндэс эрхээр ажиллуулах үед /etc/init/systemd-agent.conf болон /lib/systemd/system/sys-temd-agent.service скриптүүд нь хортой програмыг идэвхжүүлэхийн тулд үүсгэгдсэн бөгөөд хортой гүйцэтгэх файл өөрөө / bin/systemd/systemd -daemon болон /usr/lib/systemd/systemd-daemon (функц нь хоёр файлд давхардсан). Стандарт хэрэглэгчээр ажиллаж байх үед $HOME/.config/au-tostart/gnomehelper.desktop автомат эхлүүлэх файлыг ашиглаж, .bashrc-д өөрчлөлт хийсэн ба гүйцэтгэх файлыг $HOME/.gvfsd/.profile/gvfsd гэж хадгалсан. -туслагч болон $HOME/ .dbus/sessions/session-dbus. Гүйцэтгэх боломжтой хоёр файлыг нэгэн зэрэг эхлүүлсэн бөгөөд тус бүр нь нөгөөгийнхөө байгаа эсэхийг хянаж, дуусгавар болсон тохиолдолд сэргээдэг.
Арын хаалган дээрх үйл ажиллагааны үр дүнг нуухын тулд хэд хэдэн шифрлэлтийн алгоритмыг ашигласан, жишээлбэл, AES-ийг нөөцийг шифрлэхэд ашигласан бөгөөд ZLIB ашиглан шахалттай хослуулан AES, XOR, ROTATE-ийн хослолыг холбооны сувгийг нуух зорилгоор ашигласан. хяналтын сервертэй.
Хяналтын командуудыг хүлээн авахын тулд хортой програм нь сүлжээний 4 портоор дамжуулан 443 домэйнтэй холбогдсон (харилцаа холбооны суваг нь HTTPS болон TLS биш өөрийн протоколыг ашигласан). Домэйнүүдийг (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com болон news.thaprior.net) 2015 онд бүртгэж, Киевийн Deltahost хостинг үйлчилгээ үзүүлэгчээр зохион байгуулсан. Арын хаалганд 12 үндсэн функцийг нэгтгэсэн бөгөөд энэ нь дэвшилтэт функц бүхий залгаасуудыг ачаалах, ажиллуулах, төхөөрөмжийн өгөгдлийг дамжуулах, эмзэг өгөгдлийг таслах, дотоод файлуудыг удирдах боломжийг олгосон.
Эх сурвалж: opennet.ru