ريسرچ ليبارٽري 360 Netlab رپورٽ ڪئي لينڪس لاءِ نئين مالويئر جي سڃاڻپ، ڪوڊنيم RotaJakiro ۽ ان ۾ شامل آهي هڪ پٺتي پيل دروازو جيڪو توهان کي سسٽم کي ڪنٽرول ڪرڻ جي اجازت ڏئي ٿو. مالويئر سسٽم ۾ اڻڄاتل ڪمزورين کي استحصال ڪرڻ يا ڪمزور پاسورڊ جو اندازو لڳائڻ کان پوء حملي ڪندڙن طرفان نصب ڪيو ويو هجي.
پوئتي دروازو دريافت ڪيو ويو مشڪوڪ ٽريفڪ جي تجزيي دوران سسٽم جي عمل مان هڪ کان، سڃاڻپ دوران ڊي ڊي او ايس حملي لاءِ استعمال ٿيل botnet جي جوڙجڪ جي تجزيي دوران. ان کان اڳ، RotaJakiro ٽن سالن تائين اڻڄاتل رهيو؛ خاص طور تي، وائرس ٽوٽل سروس ۾ سڃاڻپ ٿيل مالويئر سان ملندڙ MD5 هيشز سان فائلن کي اسڪين ڪرڻ جون پھريون ڪوششون مئي 2018 ۾ ڪيون ويون.
RotaJakiro جي خاصيتن مان هڪ آهي مختلف ڇنڊڇاڻ جي ٽيڪنڪ جو استعمال جڏهن هڪ غير امتيازي صارف ۽ روٽ جي طور تي هلندي. ان جي موجودگي کي لڪائڻ لاء، پوئين دروازي پروسيس جا نالا استعمال ڪيا ويا systemd-daemon، session-dbus ۽ gvfsd-helper، جن کي، سڀني قسمن جي خدمت جي عملن سان جديد لينڪس جي تقسيم جي بي ترتيب ڏني وئي، پهرين نظر ۾ جائز لڳي ۽ شڪ پيدا نه ڪيو.
جڏهن روٽ رائيٽس سان هلايو وڃي ته، اسڪرپٽ /etc/init/systemd-agent.conf ۽ /lib/systemd/system/sys-temd-agent.service ٺاهيا ويا هئا مالويئر کي چالو ڪرڻ لاءِ، ۽ بدسلوڪي عملدار فائل پاڻ وٽ موجود هئي / bin/systemd/systemd -daemon ۽ /usr/lib/systemd/systemd-daemon (ڪارڪردگي کي ٻن فائلن ۾ نقل ڪيو ويو). جڏهن هڪ معياري استعمال ڪندڙ جي طور تي هلندي، آٽو سٽارٽ فائل $HOME/.config/au-tostart/gnomehelper.desktop استعمال ڪئي وئي ۽ .bashrc ۾ تبديليون ڪيون ويون، ۽ قابل عمل فائل $HOME/.gvfsd/.profile/gvfsd طور محفوظ ڪئي وئي. -مددگار ۽ $HOME/ .dbus/sessions/session-dbus. ٻئي عملدار فائلون هڪ ئي وقت شروع ڪيون ويون، جن مان هر هڪ ٻئي جي موجودگي جي نگراني ڪئي ۽ ان کي بحال ڪيو جيڪڏهن اهو ختم ٿي ويو.
پٺئين دروازي ۾ انهن جي سرگرمين جي نتيجن کي لڪائڻ لاء، ڪيترن ئي انڪرپشن الگورتھم استعمال ڪيا ويا، مثال طور، AES استعمال ڪيو ويو انهن جي وسيلن کي انڪرپٽ ڪرڻ لاء، ۽ AES، XOR ۽ ROTATE جو هڪ ميلاپ استعمال ڪيو ويو ڪمپريشن جي ميلاپ ۾ ZLIB استعمال ڪندي مواصلاتي چينل کي لڪائڻ لاء استعمال ڪيو ويو. ڪنٽرول سرور سان.
ڪنٽرول حڪم حاصل ڪرڻ لاء، مالويئر نيٽ ورڪ پورٽ 4 ذريعي 443 ڊومينز سان رابطو ڪيو (ڪميونيڪيشن چينل پنهنجو پروٽوڪول استعمال ڪيو، نه HTTPS ۽ TLS). ڊومينز (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ۽ news.thaprior.net) 2015 ۾ رجسٽرڊ ڪيا ويا ۽ Kyiv هوسٽنگ فراهم ڪندڙ Deltahost طرفان ميزباني ڪيا ويا. 12 بنيادي ڪمن کي پٺئين دروازي ۾ ضم ڪيو ويو، جيڪي پلگ ان کي لوڊ ڪرڻ ۽ عمل ڪرڻ جي اجازت ڏني وئي جديد ڪارڪردگي سان، ڊوائيس ڊيٽا کي منتقل ڪرڻ، حساس ڊيٽا کي مداخلت ڪرڻ ۽ مقامي فائلن کي منظم ڪرڻ.
جو ذريعو: opennet.ru