Лабораторияи тадқиқотии 360 Netlab дар бораи муайян кардани нармафзори нави зараровар барои Linux, ки бо номи рамзи RotaJakiro ва аз ҷумла татбиқи пушти даре, ки ба шумо имкон медиҳад, ки системаро идора кунед, гузориш дод. Нармафзори зараровар метавонад аз ҷониби ҳамлагарон пас аз истифодаи осебпазирӣ дар система ё тахмин кардани паролҳои заиф насб карда шавад.
Дар паси дарвоза ҳангоми таҳлили трафики шубҳанок аз яке аз равандҳои системавӣ, ки ҳангоми таҳлили сохтори ботнети барои ҳамлаи DDoS истифодашаванда муайян карда шудааст, кашф шудааст. Қабл аз ин, RotaJakiro дар тӯли се сол ошкор нашуда буд; аз ҷумла, аввалин кӯшишҳои скан кардани файлҳо бо хэшҳои MD5, ки ба нармафзори зараровар дар хидмати VirusTotal мувофиқанд, моҳи майи соли 2018 буд.
Яке аз вижагиҳои RotaJakiro ин истифодаи усулҳои гуногуни камуфляж ҳангоми кор ба сифати корбари беимтиёз ва реша мебошад. Барои пинҳон доштани ҳузури худ, backdoor аз номҳои равандҳои systemd-daemon, session-dbus ва gvfsd-helper истифода мекард, ки бо назардошти бесарусомонии дистрибюторҳои муосири Linux бо ҳама гуна равандҳои хидматрасонӣ, дар назари аввал қонунӣ менамуданд ва шубҳаро бедор накарданд.
Ҳангоми кор бо ҳуқуқи реша, скриптҳои /etc/init/systemd-agent.conf ва /lib/systemd/system/sys-temd-agent.service барои фаъол кардани нармафзори зараровар сохта шуданд ва худи файли иҷрошавандаи зараровар ҳамчун / ҷойгир карда шуд. bin/systemd/systemd -daemon ва /usr/lib/systemd/systemd-daemon (функсия дар ду файл такрор карда шуд). Ҳангоми кор кардан ҳамчун корбари стандартӣ, файли автоматикунонии $HOME/.config/au-tostart/gnomehelper.desktop истифода шуд ва ба .bashrc тағирот ворид карда шуд ва файли иҷрошаванда ҳамчун $HOME/.gvfsd/.profile/gvfsd захира карда шуд. -ёрирасон ва $HOME/ .dbus/sessions/session-dbus. Ҳарду файлҳои иҷрошаванда дар як вақт оғоз карда шуданд, ки ҳар кадоми онҳо мавҷудияти дигареро назорат мекарданд ва дар сурати қатъ шудани он онро барқарор мекарданд.
Барои пинҳон кардани натиҷаҳои фаъолияти онҳо дар backdoor, якчанд алгоритмҳои рамзгузорӣ истифода мешуданд, масалан, барои рамзгузории захираҳои онҳо AES истифода мешуд ва маҷмӯи AES, XOR ва ROTATE дар якҷоягӣ бо фишурдасозӣ бо истифода аз ZLIB барои пинҳон кардани канали коммуникатсионӣ истифода шудааст. бо сервери назорат.
Барои гирифтани фармонҳои назорат, нармафзори зараровар тавассути порти шабакавии 4 бо 443 домен тамос гирифт (канали иртиботӣ протоколи худро истифода бурд, на HTTPS ва TLS). Доменҳо (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ва news.thaprior.net) соли 2015 ба қайд гирифта шуда, аз ҷониби провайдери хостинги Киев Deltahost ҷойгир карда шудаанд. 12 функсияи асосӣ ба пушти дарвоза ворид карда шуданд, ки имкон дод, ки плагинҳо бо функсияҳои пешрафта, интиқоли маълумоти дастгоҳ, боздоштани маълумоти ҳассос ва идоракунии файлҳои маҳаллӣ.
Манбаъ: opennet.ru