Makmal penyelidikan 360 Netlab melaporkan pengenalpastian perisian hasad baharu untuk Linux, dengan nama kod RotaJakiro dan termasuk pelaksanaan pintu belakang yang membolehkan anda mengawal sistem. Malware mungkin telah dipasang oleh penyerang selepas mengeksploitasi kelemahan yang tidak ditambal dalam sistem atau meneka kata laluan yang lemah.
Pintu belakang ditemui semasa analisis trafik yang mencurigakan daripada salah satu proses sistem, yang dikenal pasti semasa analisis struktur botnet yang digunakan untuk serangan DDoS. Sebelum ini, RotaJakiro kekal tidak dapat dikesan selama tiga tahun; khususnya, percubaan pertama untuk mengimbas fail dengan cincang MD5 yang sepadan dengan perisian hasad yang dikenal pasti dalam perkhidmatan VirusTotal bertarikh Mei 2018.
Salah satu ciri RotaJakiro ialah penggunaan teknik penyamaran yang berbeza apabila berjalan sebagai pengguna dan root yang tidak mempunyai hak istimewa. Untuk menyembunyikan kehadirannya, pintu belakang menggunakan nama proses systemd-daemon, session-dbus dan gvfsd-helper, yang, memandangkan kekacauan pengedaran Linux moden dengan semua jenis proses perkhidmatan, pada pandangan pertama kelihatan sah dan tidak menimbulkan syak wasangka.
Apabila dijalankan dengan hak akar, skrip /etc/init/systemd-agent.conf dan /lib/systemd/system/sys-temd-agent.service dicipta untuk mengaktifkan perisian hasad dan fail boleh laku berniat jahat itu sendiri terletak sebagai / bin/systemd/systemd -daemon dan /usr/lib/systemd/systemd-daemon (fungsi telah diduplikasi dalam dua fail). Apabila dijalankan sebagai pengguna standard, fail autostart $HOME/.config/au-tostart/gnomehelper.desktop telah digunakan dan perubahan telah dibuat kepada .bashrc dan fail boleh laku disimpan sebagai $HOME/.gvfsd/.profile/gvfsd -helper dan $HOME/ .dbus/sessions/session-dbus. Kedua-dua fail boleh laku dilancarkan secara serentak, yang setiap satu memantau kehadiran yang lain dan memulihkannya jika ia ditamatkan.
Untuk menyembunyikan hasil aktiviti mereka di pintu belakang, beberapa algoritma penyulitan digunakan, contohnya, AES digunakan untuk menyulitkan sumber mereka, dan gabungan AES, XOR dan ROTATE dalam kombinasi dengan pemampatan menggunakan ZLIB digunakan untuk menyembunyikan saluran komunikasi dengan pelayan kawalan.
Untuk menerima arahan kawalan, perisian hasad menghubungi 4 domain melalui port rangkaian 443 (saluran komunikasi menggunakan protokolnya sendiri, bukan HTTPS dan TLS). Domain (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com dan news.thaprior.net) telah didaftarkan pada tahun 2015 dan dihoskan oleh penyedia pengehosan Kyiv Deltahost. 12 fungsi asas telah disepadukan ke dalam pintu belakang, yang membenarkan memuatkan dan melaksanakan pemalam dengan fungsi lanjutan, menghantar data peranti, memintas data sensitif dan mengurus fail tempatan.
Sumber: opennet.ru