Laboratori kërkimor 360 Netlab raportoi identifikimin e një malware të ri për Linux, të koduar RotaJakiro dhe duke përfshirë zbatimin e një dere të pasme që ju lejon të kontrolloni sistemin. Malware mund të ishte instaluar nga sulmuesit pas shfrytëzimit të dobësive të papatchuara në sistem ose gjetjes së fjalëkalimeve të dobëta.
Backdoor u zbulua gjatë analizës së trafikut të dyshimtë nga një prej proceseve të sistemit, të identifikuar gjatë analizës së strukturës së botnet-it të përdorur për sulmin DDoS. Përpara kësaj, RotaJakiro mbeti i pazbuluar për tre vjet; në veçanti, përpjekjet e para për të skanuar skedarët me hash MD5 që përputhen me malware të identifikuar në shërbimin VirusTotal datuan në maj 2018.
Një nga veçoritë e RotaJakiro është përdorimi i teknikave të ndryshme të kamuflimit kur funksionon si përdorues dhe root i paprivilegjuar. Për të fshehur praninë e tij, backdoor përdori emrat e procesit systemd-daemon, session-dbus dhe gvfsd-helper, të cilat, duke pasur parasysh rrëmujën e shpërndarjeve moderne Linux me të gjitha llojet e proceseve të shërbimit, në shikim të parë dukeshin të ligjshme dhe nuk ngjallnin dyshime.
Kur ekzekutohen me të drejta rrënjësore, skriptet /etc/init/systemd-agent.conf dhe /lib/systemd/system/sys-temd-agent.service u krijuan për të aktivizuar malware dhe vetë skedari i ekzekutueshëm me qëllim të keq u vendos si / bin/systemd/systemd -daemon dhe /usr/lib/systemd/systemd-daemon (funksionaliteti u kopjua në dy skedarë). Kur ekzekutohet si përdorues standard, skedari i nisjes automatike $HOME/.config/au-tostart/gnomehelper.desktop u përdor dhe u bënë ndryshime në .bashrc dhe skedari i ekzekutueshëm u ruajt si $HOME/.gvfsd/.profile/gvfsd -ndihmës dhe $HOME/ .dbus/sessions/session-dbus. Të dy skedarët e ekzekutueshëm u nisën njëkohësisht, secila prej të cilave monitoronte praninë e tjetrit dhe e rivendoste atë nëse përfundonte.
Për të fshehur rezultatet e aktiviteteve të tyre në derën e pasme, u përdorën disa algoritme kriptimi, për shembull, AES u përdor për të kriptuar burimet e tyre, dhe një kombinim i AES, XOR dhe ROTATE në kombinim me kompresimin duke përdorur ZLIB u përdor për të fshehur kanalin e komunikimit. me serverin e kontrollit.
Për të marrë komandat e kontrollit, malware kontaktoi 4 domene nëpërmjet portit të rrjetit 443 (kanali i komunikimit përdori protokollin e tij, jo HTTPS dhe TLS). Domenet (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com dhe news.thaprior.net) u regjistruan në vitin 2015 dhe u organizuan nga ofruesi i pritjes në Kiev Deltahost. 12 funksione bazë u integruan në backdoor, të cilat lejuan ngarkimin dhe ekzekutimin e shtojcave me funksionalitet të avancuar, transmetimin e të dhënave të pajisjes, përgjimin e të dhënave të ndjeshme dhe menaxhimin e skedarëve lokalë.
Burimi: opennet.ru