Forskningslaboratoriet 360 Netlab rapporterade identifieringen av ny skadlig programvara för Linux, kodnamnet RotaJakiro och inklusive implementeringen av en bakdörr som låter dig styra systemet. Skadlig programvara kan ha installerats av angripare efter att ha utnyttjat opatchade sårbarheter i systemet eller gissat svaga lösenord.
Bakdörren upptäcktes under analysen av misstänkt trafik från en av systemprocesserna, identifierad under analys av strukturen på botnätet som användes för DDoS-attacken. Dessförinnan förblev RotaJakiro oupptäckt i tre år; i synnerhet de första försöken att skanna filer med MD5-hashar som matchar den identifierade skadliga programvaran i VirusTotal-tjänsten daterades i maj 2018.
En av funktionerna i RotaJakiro är användningen av olika kamouflagetekniker när man kör som en oprivilegierad användare och root. För att dölja sin närvaro använde bakdörren processnamnen systemd-daemon, session-dbus och gvfsd-helper, vilket, med tanke på röran av moderna Linux-distributioner med alla möjliga tjänsteprocesser, vid första anblicken verkade legitima och inte väckte misstankar.
När de kördes med roträttigheter skapades skripten /etc/init/systemd-agent.conf och /lib/systemd/system/sys-temd-agent.service för att aktivera skadlig programvara, och själva den skadliga körbara filen lokaliserades som / bin/systemd/systemd -daemon och /usr/lib/systemd/systemd-daemon (funktionalitet duplicerades i två filer). När den kördes som standardanvändare användes autostartfilen $HOME/.config/au-tostart/gnomehelper.desktop och ändringar gjordes i .bashrc, och den körbara filen sparades som $HOME/.gvfsd/.profile/gvfsd -helper och $HOME/ .dbus/sessions/session-dbus. Båda körbara filerna lanserades samtidigt, som var och en övervakade närvaron av den andra och återställde den om den avslutades.
För att dölja resultaten av deras aktiviteter i bakdörren användes flera krypteringsalgoritmer, till exempel användes AES för att kryptera deras resurser, och en kombination av AES, XOR och ROTATE i kombination med komprimering med ZLIB användes för att dölja kommunikationskanalen med kontrollservern.
För att ta emot kontrollkommandon kontaktade den skadliga programvaran 4 domäner via nätverksport 443 (kommunikationskanalen använde sitt eget protokoll, inte HTTPS och TLS). Domänerna (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com och news.thaprior.net) registrerades 2015 och var värd hos Kyiv-värdleverantören Deltahost. 12 grundläggande funktioner integrerades i bakdörren, vilket gjorde det möjligt att ladda och köra plugins med avancerad funktionalitet, överföra enhetsdata, avlyssna känslig data och hantera lokala filer.
Källa: opennet.ru