පර්යේෂණ රසායනාගාරය 360 Netlab Linux සඳහා RotaJakiro කේත නාමයෙන් නව අනිෂ්ට මෘදුකාංග හඳුනා ගැනීම සහ පද්ධතිය පාලනය කිරීමට ඔබට ඉඩ සලසන පසුබිමක් ක්රියාත්මක කිරීම ඇතුළුව වාර්තා කළේය. අනිෂ්ට මෘදුකාංගය ප්රහාරකයින් විසින් ස්ථාපනය කර ඇත්තේ පද්ධතියේ නොගැලපෙන දුර්වලතා උපයෝගී කර ගැනීමෙන් හෝ දුර්වල මුරපද අනුමාන කිරීමෙන් පසුවය.
DDoS ප්රහාරය සඳහා භාවිතා කරන ලද botnet ව්යුහය විශ්ලේෂණය කිරීමේදී හඳුනාගත් එක් පද්ධති ක්රියාවලියකින් සැක සහිත ගමනාගමනය විශ්ලේෂණය කිරීමේදී පසුපස දොර සොයා ගන්නා ලදී. මෙයට පෙර, RotaJakiro වසර තුනක් තිස්සේ හඳුනා නොගෙන සිටියේය; විශේෂයෙන්, VirusTotal සේවාවේ හඳුනාගත් අනිෂ්ට මෘදුකාංගයට ගැලපෙන MD5 හෑෂ් සහිත ගොනු පරිලෝකනය කිරීමේ පළමු උත්සාහය 2018 මැයි දින විය.
RotaJakiro හි එක් අංගයක් වන්නේ වරප්රසාද නොලත් පරිශීලකයෙකු සහ මූලයක් ලෙස ධාවනය වන විට විවිධ කැමෆ්ලේජ් ක්රම භාවිතා කිරීමයි. එහි පැවැත්ම සැඟවීමට, පසුපස දොර විසින් systemd-daemon, session-dbus සහ gvfsd-helper යන ක්රියාවලි නම් භාවිතා කරන ලද අතර, එය සියලු ආකාරයේ සේවා ක්රියාවලීන් සහිත නවීන ලිනක්ස් බෙදාහැරීම්වල අවුල් සහගත බව සැලකිල්ලට ගත් විට, බැලූ බැල්මට නීත්යානුකූල යැයි පෙනෙන අතර සැකයක් ඇති නොකරයි.
මූල අයිතිවාසිකම් සමඟ ධාවනය කරන විට, අනිෂ්ට මෘදුකාංග සක්රිය කිරීම සඳහා ස්ක්රිප්ට් /etc/init/systemd-agent.conf සහ /lib/systemd/system/sys-temd-agent.service නිර්මාණය කරන ලද අතර, අනිෂ්ට ක්රියාත්මක කළ හැකි ගොනුව / ලෙස පිහිටා ඇත. bin/systemd/systemd -daemon සහ /usr/lib/systemd/systemd-daemon (ක්රියාකාරීත්වය ගොනු දෙකකින් අනුපිටපත් කර ඇත). සම්මත පරිශීලකයෙකු ලෙස ධාවනය වන විට, ස්වයංක්රීය ආරම්භ ගොනුව $HOME/.config/au-tostart/gnomehelper.desktop භාවිතා කර .bashrc වෙත වෙනස්කම් සිදු කරන ලද අතර, ක්රියාත්මක කළ හැකි ගොනුව $HOME/.gvfsd/.profile/gvfsd ලෙස සුරකින ලදී -helper සහ $HOME/ .dbus/sessions/session-dbus. ක්රියාත්මක කළ හැකි ලිපිගොනු දෙකම එකවර දියත් කරන ලද අතර, ඒ සෑම එකක්ම අනෙකාගේ පැවැත්ම නිරීක්ෂණය කරන අතර එය අවසන් වුවහොත් එය ප්රතිසාධනය කරයි.
ඔවුන්ගේ ක්රියාකාරකම්වල ප්රතිඵල පිටුපස දොරේ සැඟවීමට, සංකේතාංකන ඇල්ගොරිතම කිහිපයක් භාවිතා කරන ලදී, උදාහරණයක් ලෙස, AES ඔවුන්ගේ සම්පත් සංකේතනය කිරීමට භාවිතා කරන ලදී, සහ සන්නිවේදන නාලිකාව සැඟවීමට AES, XOR සහ ROTATE සම්පීඩනය සමඟ සංයෝජනයක් භාවිතා කරන ලදී. පාලන සේවාදායකය සමඟ.
පාලන විධාන ලබා ගැනීම සඳහා, අනිෂ්ට මෘදුකාංග ජාල වරාය 4 හරහා වසම් 443ක් සම්බන්ධ කර ගත්තේය (සන්නිවේදන නාලිකාව HTTPS සහ TLS නොව එහිම ප්රොටෝකෝලය භාවිතා කළේය). වසම් (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com සහ news.thaprior.net) 2015 දී ලියාපදිංචි කරන ලද අතර Kyiv සත්කාරක සැපයුම්කරු Deltahost විසින් සත්කාරකත්වය සපයන ලදී. මූලික කාර්යයන් 12ක් පසුපස දොරට ඒකාබද්ධ කරන ලද අතර, උසස් ක්රියාකාරීත්වය සහිත ප්ලගීන පැටවීමට සහ ක්රියාත්මක කිරීමට, උපාංග දත්ත සම්ප්රේෂණය කිරීමට, සංවේදී දත්තවලට බාධා කිරීමට සහ දේශීය ගොනු කළමනාකරණය කිරීමට ඉඩ සැලසේ.
මූලාශ්රය: opennet.ru