🥇RotaJakiro एउटा नयाँ लिनक्स मालवेयर हो जुन एक systemd प्रक्रियाको रूपमा मास्करेड गर्दैछ

अनुसन्धान प्रयोगशाला 360 Netlab ले लिनक्सको लागि नयाँ मालवेयरको पहिचान रिपोर्ट गर्‍यो, कोडनाम रोटाजाकिरो र तपाइँलाई प्रणाली नियन्त्रण गर्न अनुमति दिने ब्याकडोरको कार्यान्वयन सहित। प्रणालीमा अनप्याच गरिएको कमजोरीहरूको शोषण वा कमजोर पासवर्डहरू अनुमान लगाएपछि आक्रमणकारीहरूले मालवेयर स्थापना गरेको हुन सक्छ।

DDoS आक्रमणको लागि प्रयोग गरिएको बोटनेटको संरचनाको विश्लेषणको क्रममा पहिचान गरिएको प्रणाली प्रक्रियाहरू मध्ये एकबाट संदिग्ध ट्राफिकको विश्लेषणको क्रममा ब्याकडोर पत्ता लगाइएको थियो। यसअघि, RotaJakiro तीन वर्षसम्म पत्ता नलागेको थियो; विशेष गरी, VirusTotal सेवामा पहिचान गरिएका मालवेयरसँग मेल खाने MD5 ह्यासहरूसँग फाइलहरू स्क्यान गर्ने पहिलो प्रयास मे 2018 मा गरिएको थियो।

RotaJakiro को विशेषताहरु मध्ये एक अप्रिभिलेज्ड प्रयोगकर्ता र रूट को रूप मा चलिरहेको बेला विभिन्न क्यामोफ्लाज प्रविधि को प्रयोग हो। यसको उपस्थिति लुकाउनको लागि, ब्याकडोरले प्रक्रिया नामहरू systemd-deemon, session-dbus र gvfsd-helper प्रयोग गर्‍यो, जुन, सबै प्रकारका सेवा प्रक्रियाहरूसँग आधुनिक लिनक्स वितरणको अव्यवस्थित रूपमा, पहिलो नजरमा वैध देखिन्थ्यो र शंका उत्पन्न गर्दैन।

रूट अधिकारहरूसँग चलाउँदा, स्क्रिप्टहरू /etc/init/systemd-agent.conf र /lib/systemd/system/sys-temd-agent.service लाई मालवेयर सक्रिय गर्न सिर्जना गरिएको थियो, र खराब कार्यान्वयनयोग्य फाइल आफैं / को रूपमा अवस्थित थियो। bin/systemd/systemd -daemon र /usr/lib/systemd/systemd-daemon (कार्यात्मकता दुई फाइलहरूमा नक्कल गरिएको थियो)। मानक प्रयोगकर्ताको रूपमा चल्दा, स्वत: सुरु गर्ने फाइल $HOME/.config/au-tostart/gnomehelper.desktop प्रयोग गरियो र .bashrc मा परिवर्तनहरू गरियो, र कार्यान्वयनयोग्य फाइल $HOME/.gvfsd/.profile/gvfsd को रूपमा बचत गरियो। -हेल्पर र $HOME/ .dbus/sessions/session-dbus। दुबै निष्पादन योग्य फाइलहरू एकै साथ सुरू गरियो, जसमध्ये प्रत्येकले अर्कोको उपस्थितिलाई निगरानी गर्‍यो र यदि यो समाप्त भयो भने यसलाई पुनर्स्थापित गर्‍यो।

ब्याकडोरमा तिनीहरूका गतिविधिहरूको नतिजा लुकाउन, धेरै एन्क्रिप्शन एल्गोरिदमहरू प्रयोग गरियो, उदाहरणका लागि, तिनीहरूका स्रोतहरू इन्क्रिप्ट गर्न AES प्रयोग गरिएको थियो, र ZLIB प्रयोग गरेर कम्प्रेसनको संयोजनमा AES, XOR र ROTATE को संयोजन संचार च्यानल लुकाउन प्रयोग गरिएको थियो। नियन्त्रण सर्भर संग।

नियन्त्रण आदेशहरू प्राप्त गर्न, मालवेयरले नेटवर्क पोर्ट 4 मार्फत 443 डोमेनहरूलाई सम्पर्क गर्‍यो (सञ्चार च्यानलले आफ्नै प्रोटोकल प्रयोग गर्‍यो, HTTPS र TLS होइन)। डोमेनहरू (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com र news.thaprior.net) 2015 मा दर्ता गरिएको थियो र Kyiv होस्टिङ प्रदायक Deltahost द्वारा होस्ट गरिएको थियो। 12 आधारभूत प्रकार्यहरू ब्याकडोरमा एकीकृत गरिएको थियो, जसले उन्नत प्रकार्यताका साथ प्लगइनहरू लोड गर्न र कार्यान्वयन गर्न, यन्त्र डाटा प्रसारण गर्ने, संवेदनशील डाटालाई अवरोध गर्ने र स्थानीय फाइलहरू व्यवस्थापन गर्ने अनुमति दिन्छ।

स्रोत: opennet.ru

RotaJakiro एउटा नयाँ लिनक्स मालवेयर हो जसले प्रणालीगत प्रक्रियाको रूपमा मास्करेड गर्दछ

एक टिप्पणी थप्न Отменить ответ