Il-laboratorju ta 'riċerka 360 Netlab irrapporta l-identifikazzjoni ta' malware ġdid għal Linux, bl-isem ta 'kodiċi RotaJakiro u inkluż l-implimentazzjoni ta' backdoor li jippermettilek tikkontrolla s-sistema. Il-malware seta’ ġie installat minn attakkanti wara li sfrutta vulnerabbiltajiet mhux imqabbda fis-sistema jew li ħasbu passwords dgħajfa.
Il-backdoor ġie skopert waqt l-analiżi tat-traffiku suspettuż minn wieħed mill-proċessi tas-sistema, identifikati waqt l-analiżi tal-istruttura tal-botnet użata għall-attakk DDoS. Qabel dan, RotaJakiro baqa' ma nstabx għal tliet snin; b'mod partikolari, l-ewwel tentattivi biex jiġu skennjati fajls b'hashes MD5 li jaqblu mal-malware identifikat fis-servizz VirusTotal kienu ddatati Mejju 2018.
Waħda mill-karatteristiċi ta 'RotaJakiro hija l-użu ta' tekniki ta 'kamuflaġġ differenti meta taħdem bħala utent u għerq mhux privileġġjati. Biex jaħbi l-preżenza tiegħu, il-backdoor uża l-ismijiet tal-proċess systemd-daemon, session-dbus u gvfsd-helper, li, minħabba l-imbarazz tad-distribuzzjonijiet moderni tal-Linux b'kull xorta ta 'proċessi ta' servizz, mal-ewwel daqqa t'għajn dehru leġittimi u ma qajmux suspetti.
Meta jitmexxew bid-drittijiet tal-għeruq, l-iskripts /etc/init/systemd-agent.conf u /lib/systemd/system/sys-temd-agent.service inħolqu biex jattivaw il-malware, u l-fajl eżekutibbli malizzjuż innifsu kien jinsab bħala / bin/systemd/systemd -daemon u /usr/lib/systemd/systemd-daemon (il-funzjonalità kienet duplikata f'żewġ fajls). Meta taħdem bħala utent standard, intuża l-fajl autostart $HOME/.config/au-tostart/gnomehelper.desktop u saru bidliet għal .bashrc, u l-fajl eżekutibbli ġie salvat bħala $HOME/.gvfsd/.profile/gvfsd -helper u $HOME/ .dbus/sessions/session-dbus. Iż-żewġ fajls eżekutibbli ġew imnedija simultanjament, li kull wieħed minnhom immonitorja l-preżenza tal-ieħor u rrestawraha jekk spiċċat.
Biex jaħbu r-riżultati ta 'l-attivitajiet tagħhom fil-backdoor, intużaw diversi algoritmi ta' encryption, pereżempju, AES intuża biex jikkripta r-riżorsi tagħhom, u taħlita ta 'AES, XOR u ROTATE flimkien ma' kompressjoni bl-użu ta 'ZLIB intużat biex jaħbi l-kanal ta' komunikazzjoni mas-server tal-kontroll.
Biex jirċievi kmandi ta 'kontroll, il-malware kkuntattja 4 dominji permezz tal-port tan-netwerk 443 (il-kanal ta' komunikazzjoni uża l-protokoll tiegħu stess, mhux HTTPS u TLS). Id-dominji (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com u news.thaprior.net) ġew irreġistrati fl-2015 u ospitati mill-fornitur ta 'hosting ta' Kyiv Deltahost. 12-il funzjoni bażika ġew integrati fil-backdoor, li ppermettew it-tagħbija u l-eżekuzzjoni ta 'plugins b'funzjonalità avvanzata, it-trażmissjoni tad-dejta tal-apparat, l-interċettazzjoni ta' data sensittiva u l-ġestjoni ta 'fajls lokali.
Sors: opennet.ru