O laboratório de pesquisa 360 Netlab relatou a identificação de um novo malware para Linux, de codinome RotaJakiro e incluindo a implementação de um backdoor que permite controlar o sistema. O malware pode ter sido instalado por invasores após explorar vulnerabilidades não corrigidas no sistema ou adivinhar senhas fracas.
O backdoor foi descoberto durante a análise de tráfego suspeito de um dos processos do sistema, identificado durante análise da estrutura da botnet utilizada para o ataque DDoS. Antes disso, o RotaJakiro permaneceu sem ser detectado por três anos; em particular, as primeiras tentativas de verificar arquivos com hashes MD5 correspondentes ao malware identificado no serviço VirusTotal foram datadas de maio de 2018.
Uma das características do RotaJakiro é o uso de diferentes técnicas de camuflagem ao executar como usuário sem privilégios e root. Para esconder sua presença, o backdoor usou os nomes de processos systemd-daemon, session-dbus e gvfsd-helper, que, dada a confusão das distribuições Linux modernas com todos os tipos de processos de serviço, à primeira vista pareciam legítimos e não levantavam suspeitas.
Quando executado com direitos de root, os scripts /etc/init/systemd-agent.conf e /lib/systemd/system/sys-temd-agent.service foram criados para ativar o malware, e o próprio arquivo executável malicioso foi localizado como / bin/systemd/systemd -daemon e /usr/lib/systemd/systemd-daemon (a funcionalidade foi duplicada em dois arquivos). Ao executar como um usuário padrão, o arquivo de inicialização automática $HOME/.config/au-tostart/gnomehelper.desktop foi usado e alterações foram feitas em .bashrc, e o arquivo executável foi salvo como $HOME/.gvfsd/.profile/gvfsd -helper e $HOME/.dbus/sessions/session-dbus. Ambos os arquivos executáveis foram lançados simultaneamente, cada um monitorando a presença do outro e restaurando-o caso fosse encerrado.
Para ocultar os resultados de suas atividades no backdoor, vários algoritmos de criptografia foram usados, por exemplo, AES foi usado para criptografar seus recursos, e uma combinação de AES, XOR e ROTATE em combinação com compactação usando ZLIB foi usada para ocultar o canal de comunicação com o servidor de controle.
Para receber comandos de controle, o malware contatou 4 domínios através da porta 443 da rede (o canal de comunicação utilizou protocolo próprio, não HTTPS e TLS). Os domínios (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com e news.thaprior.net) foram registrados em 2015 e hospedados pelo provedor de hospedagem Deltahost de Kiev. 12 funções básicas foram integradas ao backdoor, o que permitiu carregar e executar plugins com funcionalidades avançadas, transmitir dados do dispositivo, interceptar dados confidenciais e gerenciar arquivos locais.
Fonte: opennet.ru