Forskningslaboratoriet 360 Netlab rapporterte identifisering av ny skadelig programvare for Linux, kodenavnet RotaJakiro og inkludert implementering av en bakdør som lar deg kontrollere systemet. Skadevaren kan ha blitt installert av angripere etter å ha utnyttet uopprettede sårbarheter i systemet eller gjettet svake passord.
Bakdøren ble oppdaget under analysen av mistenkelig trafikk fra en av systemprosessene, identifisert under analyse av strukturen til botnettet som ble brukt til DDoS-angrepet. Før dette forble RotaJakiro uoppdaget i tre år; spesielt var de første forsøkene på å skanne filer med MD5-hasher som samsvarer med identifisert skadelig programvare i VirusTotal-tjenesten datert mai 2018.
En av funksjonene til RotaJakiro er bruken av forskjellige kamuflasjeteknikker når du kjører som en uprivilegert bruker og rot. For å skjule sin tilstedeværelse brukte bakdøren prosessnavnene systemd-daemon, session-dbus og gvfsd-helper, som, gitt rotet av moderne Linux-distribusjoner med alle slags tjenesteprosesser, ved første øyekast virket legitime og ikke vekket mistanke.
Når de kjøres med rotrettigheter, ble skriptene /etc/init/systemd-agent.conf og /lib/systemd/system/sys-temd-agent.service opprettet for å aktivere skadelig programvare, og selve den ondsinnede kjørbare filen ble lokalisert som / bin/systemd/systemd -daemon og /usr/lib/systemd/systemd-daemon (funksjonalitet ble duplisert i to filer). Når du kjører som standardbruker, ble autostartfilen $HOME/.config/au-tostart/gnomehelper.desktop brukt og endringer ble gjort i .bashrc, og den kjørbare filen ble lagret som $HOME/.gvfsd/.profile/gvfsd -helper og $HOME/ .dbus/sessions/session-dbus. Begge de kjørbare filene ble lansert samtidig, som hver overvåket tilstedeværelsen av den andre og gjenopprettet den hvis den ble avsluttet.
For å skjule resultatene av deres aktiviteter i bakdøren ble det brukt flere krypteringsalgoritmer, for eksempel ble AES brukt til å kryptere ressursene deres, og en kombinasjon av AES, XOR og ROTATE i kombinasjon med komprimering ved hjelp av ZLIB ble brukt for å skjule kommunikasjonskanalen med kontrollserveren.
For å motta kontrollkommandoer kontaktet skadevaren 4 domener via nettverksport 443 (kommunikasjonskanalen brukte sin egen protokoll, ikke HTTPS og TLS). Domenene (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com og news.thaprior.net) ble registrert i 2015 og hostet av Kyiv-vertsleverandøren Deltahost. 12 grunnleggende funksjoner ble integrert i bakdøren, som gjorde det mulig å laste og kjøre plugins med avansert funksjonalitet, overføre enhetsdata, avskjære sensitive data og administrere lokale filer.
Kilde: opennet.ru