Onderzoekslaboratorium 360 Netlab rapporteerde de identificatie van nieuwe malware voor Linux, met de codenaam RotaJakiro en inclusief de implementatie van een achterdeur waarmee je het systeem kunt controleren. De malware kan door aanvallers zijn geïnstalleerd nadat ze ongepatchte kwetsbaarheden in het systeem hadden misbruikt of zwakke wachtwoorden hadden geraden.
De achterdeur werd ontdekt tijdens de analyse van verdacht verkeer van een van de systeemprocessen, geïdentificeerd tijdens analyse van de structuur van het botnet dat werd gebruikt voor de DDoS-aanval. Voordien bleef RotaJakiro drie jaar onopgemerkt; met name de eerste pogingen om bestanden te scannen met MD5-hashes die overeenkomen met de geïdentificeerde malware in de VirusTotal-service dateerden van mei 2018.
Een van de kenmerken van RotaJakiro is het gebruik van verschillende camouflagetechnieken bij het uitvoeren als onbevoegde gebruiker en root. Om zijn aanwezigheid te verbergen gebruikte de achterdeur de procesnamen systemd-daemon, session-dbus en gvfsd-helper, die, gezien de rommel van moderne Linux-distributies met allerlei serviceprocessen, op het eerste gezicht legitiem leken en geen argwaan wekten.
Wanneer uitgevoerd met rootrechten, werden de scripts /etc/init/systemd-agent.conf en /lib/systemd/system/sys-temd-agent.service gemaakt om de malware te activeren, en het kwaadaardige uitvoerbare bestand zelf bevond zich als / bin/systemd/systemd -daemon en /usr/lib/systemd/systemd-daemon (functionaliteit is gedupliceerd in twee bestanden). Bij het uitvoeren als standaardgebruiker werd het autostartbestand $HOME/.config/au-tostart/gnomehelper.desktop gebruikt en werden er wijzigingen aangebracht in .bashrc, en het uitvoerbare bestand werd opgeslagen als $HOME/.gvfsd/.profile/gvfsd -helper en $HOME/.dbus/sessions/session-dbus. Beide uitvoerbare bestanden werden gelijktijdig gelanceerd, waarbij elk de aanwezigheid van de ander controleerde en deze herstelde als deze werd beëindigd.
Om de resultaten van hun activiteiten in de achterdeur te verbergen, werden verschillende versleutelingsalgoritmen gebruikt. Zo werd AES gebruikt om hun bronnen te versleutelen, en werd een combinatie van AES, XOR en ROTATE in combinatie met compressie met behulp van ZLIB gebruikt om het communicatiekanaal te verbergen. met de controleserver.
Om besturingsopdrachten te ontvangen, maakte de malware contact met vier domeinen via netwerkpoort 4 (het communicatiekanaal gebruikte zijn eigen protocol, niet HTTPS en TLS). De domeinen (cdn.mirror-codes.net, status.sublineover.net, blog.edulects.com en news.thaprior.net) zijn in 443 geregistreerd en gehost door de Kiev-hostingprovider Deltahost. In de achterdeur werden 2015 basisfuncties geïntegreerd, waardoor plug-ins met geavanceerde functionaliteit konden worden geladen en uitgevoerd, apparaatgegevens konden worden verzonden, gevoelige gegevens konden worden onderschept en lokale bestanden konden worden beheerd.
Bron: opennet.ru