Истраживачка лабораторија 360 Нетлаб пријавила је идентификацију новог малвера за Линук, кодног назива РотаЈакиро и укључујући имплементацију бацкдоор-а који вам омогућава да контролишете систем. Малвер су могли да инсталирају нападачи након што су искористили незакрпљене рањивости у систему или погодили слабе лозинке.
Бацкдоор је откривен током анализе сумњивог саобраћаја из једног од системских процеса, идентификованог током анализе структуре ботнета који се користи за ДДоС напад. Пре тога, РотаЈакиро је остао неоткривен три године; посебно, први покушаји скенирања датотека са МД5 хешовима који одговарају идентификованом малверу у сервису ВирусТотал датирани су од маја 2018.
Једна од карактеристика РотаЈакиро-а је употреба различитих камуфлажних техника када радите као непривилеговани корисник и роот. Да би сакрио своје присуство, бекдор је користио називе процеса системд-даемон, сессион-дбус и гвфсд-хелпер, што је, с обзиром на неред модерних дистрибуција Линука са свим врстама услужних процеса, на први поглед деловало легитимно и није изазивало сумњу.
Када су покренуте са роот правима, скрипте /етц/инит/системд-агент.цонф и /либ/системд/систем/сис-темд-агент.сервице су креиране да активирају малвер, а сама злонамерна извршна датотека се налазила као / бин/системд/системд -даемон и /уср/либ/системд/системд-даемон (функционалност је дуплирана у две датотеке). Када се ради као стандардни корисник, коришћена је аутостарт датотека $ХОМЕ/.цонфиг/ау-тостарт/гномехелпер.десктоп и измене су унете у .басхрц, а извршна датотека је сачувана као $ХОМЕ/.гвфсд/.профиле/гвфсд -хелпер и $ХОМЕ/ .дбус/сессионс/сессион-дбус. Обе извршне датотеке су покренуте истовремено, од којих је свака пратила присуство друге и враћала је ако је прекинута.
Да би се сакрили резултати њихових активности у бацкдоор-у, коришћено је неколико алгоритама за шифровање, на пример, АЕС је коришћен за шифровање њихових ресурса, а комбинација АЕС, КСОР и РОТАТЕ у комбинацији са компресијом помоћу ЗЛИБ-а је коришћена за скривање комуникационог канала. са контролним сервером.
Да би примио контролне команде, малвер је контактирао 4 домена преко мрежног порта 443 (комуникациони канал је користио сопствени протокол, а не ХТТПС и ТЛС). Домени (цдн.миррор-цодес.нет, статус.сублинеовер.нет, блог.едуелецтс.цом и невс.тхаприор.нет) су регистровани 2015. године и хостовани су од стране кијевског хостинг провајдера Делтахост. 12 основних функција је интегрисано у бацкдоор, што је омогућило учитавање и извршавање додатака са напредном функционалношћу, пренос података уређаја, пресретање осетљивих података и управљање локалним датотекама.
Извор: опеннет.ру