ஆராய்ச்சி ஆய்வகம் 360 Netlab லினக்ஸிற்கான புதிய தீம்பொருளை அடையாளம் கண்டுள்ளது, RotaJakiro என்ற குறியீட்டுப் பெயர் மற்றும் கணினியைக் கட்டுப்படுத்த உங்களை அனுமதிக்கும் பின்கதவை செயல்படுத்துவது உட்பட. கணினியில் உள்ள இணைக்கப்படாத பாதிப்புகளைப் பயன்படுத்தி அல்லது பலவீனமான கடவுச்சொற்களை யூகித்த பிறகு, தீம்பொருள் தாக்குபவர்களால் நிறுவப்பட்டிருக்கலாம்.
DDoS தாக்குதலுக்குப் பயன்படுத்தப்படும் பாட்நெட்டின் கட்டமைப்பின் பகுப்பாய்வின் போது அடையாளம் காணப்பட்ட கணினி செயல்முறைகளில் ஒன்றிலிருந்து சந்தேகத்திற்கிடமான போக்குவரத்தை பகுப்பாய்வு செய்யும் போது பின்கதவு கண்டுபிடிக்கப்பட்டது. இதற்கு முன், RotaJakiro மூன்று ஆண்டுகளாக கண்டறியப்படாமல் இருந்தது; குறிப்பாக, VirusTotal சேவையில் அடையாளம் காணப்பட்ட தீம்பொருளுடன் பொருந்தக்கூடிய MD5 ஹாஷ்கள் கொண்ட கோப்புகளை ஸ்கேன் செய்வதற்கான முதல் முயற்சிகள் மே 2018 தேதியிட்டவை.
RotaJakiro இன் அம்சங்களில் ஒன்று, சலுகையற்ற பயனராகவும் ரூட்டாகவும் இயங்கும் போது வெவ்வேறு உருமறைப்பு நுட்பங்களைப் பயன்படுத்துவதாகும். அதன் இருப்பை மறைக்க, பின்கதவு systemd-daemon, session-dbus மற்றும் gvfsd-helper என்ற செயல்முறைப் பெயர்களைப் பயன்படுத்தியது, இது நவீன லினக்ஸ் விநியோகங்களின் அனைத்து வகையான சேவை செயல்முறைகளையும் கொண்டு, முதல் பார்வையில் சட்டபூர்வமானதாகத் தோன்றியது மற்றும் சந்தேகத்தைத் தூண்டவில்லை.
ரூட் உரிமைகளுடன் இயங்கும் போது, ஸ்கிரிப்ட்கள் /etc/init/systemd-agent.conf மற்றும் /lib/systemd/system/sys-temd-agent.service ஆகியவை தீம்பொருளைச் செயல்படுத்த உருவாக்கப்பட்டன, மேலும் தீங்கிழைக்கும் இயங்கக்கூடிய கோப்பு / bin/systemd/systemd -daemon மற்றும் /usr/lib/systemd/systemd-daemon (செயல்பாடு இரண்டு கோப்புகளில் நகலெடுக்கப்பட்டது). நிலையான பயனராக இயங்கும் போது, $HOME/.config/au-tostart/gnomehelper.desktop கோப்பு பயன்படுத்தப்பட்டது மற்றும் .bashrc இல் மாற்றங்கள் செய்யப்பட்டன, மேலும் இயங்கக்கூடிய கோப்பு $HOME/.gvfsd/.profile/gvfsd ஆக சேமிக்கப்பட்டது. -உதவி மற்றும் $HOME/ .dbus/sessions/session-dbus. இரண்டு இயங்கக்கூடிய கோப்புகளும் ஒரே நேரத்தில் தொடங்கப்பட்டன, அவை ஒவ்வொன்றும் மற்றொன்றின் இருப்பைக் கண்காணித்து, அது நிறுத்தப்பட்டால் அதை மீட்டெடுக்கும்.
பின்கதவில் அவர்களின் செயல்பாடுகளின் முடிவுகளை மறைக்க, பல குறியாக்க வழிமுறைகள் பயன்படுத்தப்பட்டன, எடுத்துக்காட்டாக, AES அவற்றின் ஆதாரங்களை குறியாக்கம் செய்ய பயன்படுத்தப்பட்டது, மேலும் AES, XOR மற்றும் ROTATE ஆகியவற்றின் கலவையானது ZLIB ஐப் பயன்படுத்தி சுருக்கத்துடன் இணைந்து தகவல்தொடர்பு சேனலை மறைக்க பயன்படுத்தப்பட்டது. கட்டுப்பாட்டு சேவையகத்துடன்.
கட்டுப்பாட்டு கட்டளைகளைப் பெற, தீம்பொருள் நெட்வொர்க் போர்ட் 4 வழியாக 443 டொமைன்களைத் தொடர்பு கொண்டது (தொடர்பு சேனல் அதன் சொந்த நெறிமுறையைப் பயன்படுத்தியது, HTTPS மற்றும் TLS அல்ல). டொமைன்கள் (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com மற்றும் news.thaprior.net) 2015 இல் பதிவு செய்யப்பட்டு, Kyiv ஹோஸ்டிங் வழங்குநரான Deltahost ஆல் ஹோஸ்ட் செய்யப்பட்டன. 12 அடிப்படை செயல்பாடுகள் பின்கதவில் ஒருங்கிணைக்கப்பட்டன, இது மேம்பட்ட செயல்பாட்டுடன் செருகுநிரல்களை ஏற்றுதல் மற்றும் செயல்படுத்துதல், சாதனத் தரவை அனுப்புதல், முக்கியமான தரவை இடைமறித்தல் மற்றும் உள்ளூர் கோப்புகளை நிர்வகித்தல் ஆகியவற்றை அனுமதித்தது.
ஆதாரம்: opennet.ru