Laboratorul de cercetare 360 Netlab a raportat identificarea unui nou malware pentru Linux, cu numele de cod RotaJakiro și inclusiv implementarea unei uși din spate care vă permite să controlați sistemul. Malware-ul ar fi putut fi instalat de atacatori după ce au exploatat vulnerabilitățile nepattchizate din sistem sau au ghicit parole slabe.
Backdoor-ul a fost descoperit în timpul analizei traficului suspect de la unul dintre procesele sistemului, identificat în timpul analizei structurii rețelei botne utilizate pentru atacul DDoS. Înainte de aceasta, RotaJakiro a rămas nedetectat timp de trei ani; în special, primele încercări de a scana fișiere cu hash-uri MD5 care se potrivesc cu malware-ul identificat în serviciul VirusTotal au fost datate mai 2018.
Una dintre caracteristicile RotaJakiro este utilizarea diferitelor tehnici de camuflaj atunci când rulează ca utilizator și root neprivilegiat. Pentru a-și ascunde prezența, backdoor-ul a folosit numele de proces systemd-daemon, session-dbus și gvfsd-helper, care, având în vedere dezordinea distribuțiilor Linux moderne cu tot felul de procese de servicii, la prima vedere păreau legitime și nu stârnea suspiciuni.
Când sunt rulate cu drepturi root, scripturile /etc/init/systemd-agent.conf și /lib/systemd/system/sys-temd-agent.service au fost create pentru a activa malware-ul, iar fișierul executabil rău intenționat în sine a fost localizat ca / bin/systemd/systemd -daemon și /usr/lib/systemd/systemd-daemon (funcționalitatea a fost duplicată în două fișiere). Când rulați ca utilizator standard, a fost folosit fișierul de pornire automată $HOME/.config/au-tostart/gnomehelper.desktop și s-au făcut modificări la .bashrc, iar fișierul executabil a fost salvat ca $HOME/.gvfsd/.profile/gvfsd -helper și $HOME/ .dbus/sessions/session-dbus. Ambele fișiere executabile au fost lansate simultan, fiecare dintre ele a monitorizat prezența celuilalt și l-a restabilit dacă se termina.
Pentru a ascunde rezultatele activităților lor în ușa din spate, au fost folosiți mai mulți algoritmi de criptare, de exemplu, AES a fost folosit pentru a cripta resursele lor și o combinație de AES, XOR și ROTATE în combinație cu compresia folosind ZLIB a fost folosită pentru a ascunde canalul de comunicare. cu serverul de control.
Pentru a primi comenzi de control, malware-ul a contactat 4 domenii prin portul de rețea 443 (canalul de comunicare a folosit propriul protocol, nu HTTPS și TLS). Domeniile (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com și news.thaprior.net) au fost înregistrate în 2015 și găzduite de furnizorul de găzduire de la Kiev Deltahost. În backdoor au fost integrate 12 funcții de bază, care au permis încărcarea și executarea pluginurilor cu funcționalitate avansată, transmiterea datelor dispozitivului, interceptarea datelor sensibile și gestionarea fișierelor locale.
Sursa: opennet.ru