ريسرچ ليب 360 نيٽ ليب نئين مالويئر جي دريافت جي رپورٽ ڏني Linux، ڪوڊنيم روٽا جاڪيرو، جنهن ۾ هڪ پٺتي پيل دروازو شامل آهي جيڪو سسٽم ڪنٽرول جي اجازت ڏئي ٿو. مالويئر حملي آورن پاران سسٽم ۾ غير پيچ ٿيل ڪمزورين جو استحصال ڪندي يا ڪمزور پاسورڊ کي زبردستي استعمال ڪندي نصب ڪيو ويو ٿي سگهي ٿو.
پوئتي دروازو دريافت ڪيو ويو مشڪوڪ ٽريفڪ جي تجزيي دوران سسٽم جي عمل مان هڪ کان، سڃاڻپ دوران ڊي ڊي او ايس حملي لاءِ استعمال ٿيل botnet جي جوڙجڪ جي تجزيي دوران. ان کان اڳ، RotaJakiro ٽن سالن تائين اڻڄاتل رهيو؛ خاص طور تي، وائرس ٽوٽل سروس ۾ سڃاڻپ ٿيل مالويئر سان ملندڙ MD5 هيشز سان فائلن کي اسڪين ڪرڻ جون پھريون ڪوششون مئي 2018 ۾ ڪيون ويون.
روٽا جڪيرو جي مخصوص خاصيتن ۾ هڪ غير مراعات يافته صارف ۽ روٽ جي طور تي هلائڻ دوران مختلف ڪيموفلاج ٽيڪنڪ جو استعمال شامل آهي. ان جي موجودگي کي لڪائڻ لاءِ، پوئين دروازي پروسيس جا نالا سسٽم ڊي-ڊيمون، سيشن-ڊي بس، ۽ جي وي ايف ايس ڊي-هيلپر استعمال ڪيا، جيڪي، جديد تقسيم جي بي ترتيبي کي ڏنو ويو، Linux هر قسم جا سرڪاري عمل، پهرين نظر ۾ جائز لڳي رهيا هئا ۽ شڪ پيدا نه ڪندا هئا.
جڏهن روٽ رائيٽس سان هلايو وڃي ته، اسڪرپٽ /etc/init/systemd-agent.conf ۽ /lib/systemd/system/sys-temd-agent.service ٺاهيا ويا هئا مالويئر کي چالو ڪرڻ لاءِ، ۽ بدسلوڪي عملدار فائل پاڻ وٽ موجود هئي / bin/systemd/systemd -daemon ۽ /usr/lib/systemd/systemd-daemon (ڪارڪردگي کي ٻن فائلن ۾ نقل ڪيو ويو). جڏهن هڪ معياري استعمال ڪندڙ جي طور تي هلندي، آٽو سٽارٽ فائل $HOME/.config/au-tostart/gnomehelper.desktop استعمال ڪئي وئي ۽ .bashrc ۾ تبديليون ڪيون ويون، ۽ قابل عمل فائل $HOME/.gvfsd/.profile/gvfsd طور محفوظ ڪئي وئي. -مددگار ۽ $HOME/ .dbus/sessions/session-dbus. ٻئي عملدار فائلون هڪ ئي وقت شروع ڪيون ويون، جن مان هر هڪ ٻئي جي موجودگي جي نگراني ڪئي ۽ ان کي بحال ڪيو جيڪڏهن اهو ختم ٿي ويو.
پنهنجي سرگرمين جي نتيجن کي لڪائڻ لاءِ، پوئين دروازي ڪيترائي انڪرپشن الگورتھم استعمال ڪيا، مثال طور، AES استعمال ڪيو ويو ان جي وسيلن کي انڪرپٽ ڪرڻ لاءِ، ۽ ڪنٽرول سان ڪميونيڪيشن چينل کي لڪائڻ لاءِ. سرور ZLIB استعمال ڪندي ڪمپريشن سان گڏ AES، XOR ۽ ROTATE جو ميلاپ.
ڪنٽرول ڪمانڊ حاصل ڪرڻ لاءِ، مالويئر نيٽ ورڪ پورٽ 443 ذريعي چار ڊومينز تائين رسائي حاصل ڪئي (ڪميونيڪيشن چينل پنهنجو پروٽوڪول استعمال ڪيو، HTTPS يا TLS نه). ڊومينز (cdn.mirror-codes.net، status.sublineover.net، blog.eduelects.com، ۽ news.thaprior.net) 2015 ۾ رجسٽرڊ ڪيا ويا ۽ ڪيوف جي بنياد تي ميزباني ڪيا ويا. هوسٽنگ فراهم ڪندڙ ڊيلٽا هوسٽ. بيڪ ڊور 12 بنيادي ڪمن کي ضم ڪيو جيڪو ان کي جديد ڪارڪردگي سان پلگ ان لوڊ ڪرڻ ۽ عمل ڪرڻ، ڊوائيس ڊيٽا منتقل ڪرڻ، حساس ڊيٽا کي روڪڻ، ۽ مقامي فائلن کي منظم ڪرڻ جي اجازت ڏني.
جو ذريعو: opennet.ru
