Výskumné laboratórium 360 Netlab oznámilo identifikáciu nového malvéru pre Linux s kódovým označením RotaJakiro a vrátane implementácie zadných vrátok, ktoré vám umožňujú ovládať systém. Malvér si mohli nainštalovať útočníci po zneužití neopravených zraniteľností v systéme alebo uhádnutí slabých hesiel.
Zadné vrátka boli objavené pri analýze podozrivej návštevnosti jedného zo systémových procesov identifikovaných pri analýze štruktúry botnetu použitého na DDoS útok. Predtým zostal RotaJakiro tri roky nezistený; konkrétne prvé pokusy o skenovanie súborov pomocou hash MD5, ktoré sa zhodujú s identifikovaným škodlivým softvérom v službe VirusTotal, boli z mája 2018.
Jednou z vlastností RotaJakiro je použitie rôznych kamuflážnych techník pri spustení ako neprivilegovaný používateľ a root. Na zakrytie svojej prítomnosti backdoor využíval názvy procesov systemd-daemon, session-dbus a gvfsd-helper, čo sa vzhľadom na neprehľadnosť moderných linuxových distribúcií so všemožnými procesmi služieb na prvý pohľad javilo ako legitímne a nevzbudzovalo podozrenie.
Pri spustení s právami root boli skripty /etc/init/systemd-agent.conf a /lib/systemd/system/sys-temd-agent.service vytvorené na aktiváciu malvéru a samotný škodlivý spustiteľný súbor bol umiestnený ako / bin/systemd/systemd -daemon a /usr/lib/systemd/systemd-daemon (funkcia bola duplikovaná v dvoch súboroch). Pri spustení ako štandardný používateľ bol použitý súbor automatického spustenia $HOME/.config/au-tostart/gnomehelper.desktop a boli vykonané zmeny v .bashrc a spustiteľný súbor bol uložený ako $HOME/.gvfsd/.profile/gvfsd -helper a $HOME/ .dbus/sessions/session-dbus. Oba spustiteľné súbory boli spustené súčasne, pričom každý z nich monitoroval prítomnosť toho druhého a v prípade jeho ukončenia ho obnovil.
Na skrytie výsledkov svojej činnosti v zadných vrátkach sa použilo niekoľko šifrovacích algoritmov, napríklad AES na šifrovanie ich zdrojov a kombinácia AES, XOR a ROTATE v kombinácii s kompresiou pomocou ZLIB na skrytie komunikačného kanála. s riadiacim serverom.
Pre prijímanie riadiacich príkazov malvér kontaktoval 4 domény cez sieťový port 443 (komunikačný kanál používal svoj vlastný protokol, nie HTTPS a TLS). Domény (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com a news.thaprior.net) boli zaregistrované v roku 2015 a ich hostiteľom je kyjevský poskytovateľ hostingu Deltahost. Do zadných vrátok bolo integrovaných 12 základných funkcií, ktoré umožňovali načítanie a spúšťanie pluginov s pokročilou funkcionalitou, prenos údajov o zariadení, zachytávanie citlivých údajov a správu lokálnych súborov.
Zdroj: opennet.ru