သုတေသနဓာတ်ခွဲခန်း 360 Netlab သည် Linux အတွက် codenamed RotaJakiro နှင့် system ကိုထိန်းချုပ်နိုင်သည့် backdoor ကိုအကောင်အထည်ဖော်ခြင်းအပါအဝင် Linux အတွက် malware အသစ်များ၏ဖော်ထုတ်မှုကိုအစီရင်ခံခဲ့သည်။ စနစ်အတွင်း မွမ်းမံထားသော အားနည်းချက်များကို အသုံးချခြင်း သို့မဟုတ် အားနည်းသော စကားဝှက်များကို ခန့်မှန်းပြီးနောက် တိုက်ခိုက်သူများသည် malware ကို ထည့်သွင်းနိုင်သည်။
DDoS တိုက်ခိုက်မှုအတွက် အသုံးပြုသည့် botnet ၏ဖွဲ့စည်းပုံအား ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း ခွဲခြားသတ်မှတ်ထားသော စနစ်လုပ်ငန်းစဉ်များထဲမှ သံသယဖြစ်ဖွယ်အသွားအလာများကို ခွဲခြမ်းစိတ်ဖြာရာတွင် Backdoor ကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ယင်းမတိုင်မီတွင်၊ RotaJakiro သည် သုံးနှစ်တာမျှ မတွေ့ခဲ့ရဘဲ၊ အထူးသဖြင့်၊ VirusTotal ဝန်ဆောင်မှုရှိ ဖော်ထုတ်ထားသော malware နှင့် ကိုက်ညီသော MD5 hashs ဖြင့် ဖိုင်များကို စကင်န်ဖတ်ရန် ကြိုးပမ်းမှုသည် မေလ 2018 ရက်စွဲဖြစ်သည်။
RotaJakiro ၏အင်္ဂါရပ်များထဲမှတစ်ခုမှာ အခွင့်ထူးမရသေးသောအသုံးပြုသူနှင့် root အဖြစ်လုပ်ဆောင်နေချိန်တွင် မတူညီသော camouflage နည်းပညာများကိုအသုံးပြုခြင်းဖြစ်သည်။ ၎င်း၏တည်ရှိမှုကို ဖုံးကွယ်ရန်၊ backdoor သည် ဝန်ဆောင်မှုလုပ်ငန်းစဥ်အမျိုးမျိုးဖြင့် ခေတ်မီ Linux ဖြန့်ဝေမှုများကို ရှုပ်ပွစေသော လုပ်ငန်းစဉ်အမည်များကို systemd-daemon၊ session-dbus နှင့် gvfsd-helper တို့ကို အသုံးပြုခဲ့သည်။
root လုပ်ပိုင်ခွင့်ဖြင့် run သောအခါ၊ scripts /etc/init/systemd-agent.conf နှင့် /lib/systemd/system/sys-temd-agent.service ကို malware ကိုအသက်သွင်းရန် ဖန်တီးထားပြီး အန္တရာယ်ရှိသော executable ဖိုင်ကိုယ်တိုင်က / အဖြစ်တည်ရှိပါသည်။ bin/systemd/systemd -daemon နှင့် /usr/lib/systemd/systemd-daemon (လုပ်ဆောင်နိုင်စွမ်းကို ဖိုင်နှစ်ခုတွင် ပွားထားသည်)။ ပုံမှန်အသုံးပြုသူအနေဖြင့် လုပ်ဆောင်နေချိန်တွင်၊ autostart ဖိုင် $HOME/.config/au-tostart/gnomehelper.desktop ကို အသုံးပြုပြီး .bashrc သို့ ပြောင်းလဲမှုများ ပြုလုပ်ခဲ့ပြီး၊ လုပ်ဆောင်နိုင်သော ဖိုင်ကို $HOME/.gvfsd/.profile/gvfsd အဖြစ် သိမ်းဆည်းခဲ့သည်။ -helper နှင့် $HOME/ .dbus/sessions/session-dbus။ လည်ပတ်နိုင်သောဖိုင်နှစ်ခုလုံးကို တစ်ပြိုင်နက်စတင်ခဲ့ပြီး၊ တစ်ခုစီသည် အခြားတစ်ခု၏ရှိနေမှုကို စောင့်ကြည့်ကာ ရပ်စဲသွားပါက ၎င်းကို ပြန်လည်ရယူသည်။
Backdoor တွင် ၎င်းတို့၏ လုပ်ဆောင်ချက်များ၏ ရလဒ်များကို ဖုံးကွယ်ရန်၊ ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်များစွာကို အသုံးပြုခဲ့သည်၊ ဥပမာ၊ ၎င်းတို့၏ အရင်းအမြစ်များကို စာဝှက်ရန် AES ကို အသုံးပြုပြီး ZLIB ကို အသုံးပြု၍ ချုံ့ခြင်းဖြင့် AES၊ XOR နှင့် ROTATE တို့ကို ပေါင်းစပ်ကာ ဆက်သွယ်ရေးလမ်းကြောင်းကို ဖုံးကွယ်ရန် အသုံးပြုခဲ့သည်။ ထိန်းချုပ်မှုဆာဗာနှင့်အတူ။
ထိန်းချုပ်မှုအမိန့်များကို လက်ခံရရှိရန်၊ Malware သည် ကွန်ရက်အပေါက် 4 မှတစ်ဆင့် ဒိုမိန်း 443 ခုကို ဆက်သွယ်ခဲ့သည် (ဆက်သွယ်ရေးချန်နယ်သည် ၎င်း၏ကိုယ်ပိုင်ပရိုတိုကောကို အသုံးပြုထားသည်၊ HTTPS နှင့် TLS မဟုတ်ဘဲ)။ ဒိုမိန်းများ (cdn.mirror-codes.net၊ status.sublineover.net၊ blog.eduelects.com နှင့် news.thaprior.net) ကို 2015 ခုနှစ်တွင် မှတ်ပုံတင်ခဲ့ပြီး Kyiv hosting provider Deltahost မှ လက်ခံဆောင်ရွက်ပေးခဲ့ပါသည်။ အခြေခံလုပ်ဆောင်ချက် 12 ခုကို backdoor တွင် ပေါင်းစပ်ထားပြီး၊ အဆင့်မြင့်လုပ်ဆောင်နိုင်စွမ်းရှိသော ပလပ်အင်များကို တင်ခြင်းနှင့် အကောင်အထည်ဖော်ခြင်း၊ စက်ဒေတာပို့ခြင်း၊ အရေးကြီးသောဒေတာကို ကြားဖြတ်ခြင်းနှင့် ဒေသတွင်းဖိုင်များကို စီမံခန့်ခွဲခြင်းတို့ကို ခွင့်ပြုပေးပါသည်။
source: opennet.ru