ห้องปฏิบัติการวิจัย 360 Netlab รายงานการระบุมัลแวร์ใหม่สำหรับ Linux ชื่อรหัส RotaJakiro และรวมถึงการใช้งานแบ็คดอร์ที่ช่วยให้คุณควบคุมระบบได้ ผู้โจมตีอาจติดตั้งมัลแวร์ได้หลังจากใช้ช่องโหว่ที่ยังไม่ได้รับการแก้ไขในระบบหรือคาดเดารหัสผ่านที่ไม่รัดกุม
ประตูหลังถูกค้นพบในระหว่างการวิเคราะห์การรับส่งข้อมูลที่น่าสงสัยจากกระบวนการระบบอย่างใดอย่างหนึ่ง ระบุในระหว่างการวิเคราะห์โครงสร้างของบอตเน็ตที่ใช้สำหรับการโจมตี DDoS ก่อนหน้านี้ RotaJakiro ยังคงตรวจไม่พบเป็นเวลาสามปี โดยเฉพาะอย่างยิ่ง ความพยายามครั้งแรกในการสแกนไฟล์ด้วยแฮช MD5 ที่ตรงกับมัลแวร์ที่ระบุในบริการ VirusTotal นั้นเกิดขึ้นเมื่อเดือนพฤษภาคม 2018
หนึ่งในคุณสมบัติของ RotaJakiro คือการใช้เทคนิคการพรางตัวที่แตกต่างกันเมื่อทำงานในฐานะผู้ใช้และรูทที่ไม่มีสิทธิพิเศษ เพื่อซ่อนการปรากฏตัวของมัน ประตูหลังใช้ชื่อกระบวนการ systemd-daemon, session-dbus และ gvfsd-helper ซึ่งเมื่อพิจารณาถึงความยุ่งเหยิงของการกระจาย Linux สมัยใหม่พร้อมกระบวนการบริการทุกประเภท เมื่อมองแวบแรกดูเหมือนว่าจะถูกต้องตามกฎหมายและไม่ทำให้เกิดความสงสัย
เมื่อรันด้วยสิทธิ์รูท สคริปต์ /etc/init/systemd-agent.conf และ /lib/systemd/system/sys-temd-agent.service ถูกสร้างขึ้นเพื่อเปิดใช้งานมัลแวร์ และไฟล์ปฏิบัติการที่เป็นอันตรายนั้นอยู่ที่ / bin/systemd/systemd -daemon และ /usr/lib/systemd/systemd-daemon (ฟังก์ชันการทำงานซ้ำกันในสองไฟล์) เมื่อทำงานในฐานะผู้ใช้มาตรฐาน ไฟล์ autostart $HOME/.config/au-tostart/gnomehelper.desktop จะถูกใช้ และได้ทำการเปลี่ยนแปลงเป็น .bashrc และไฟล์ปฏิบัติการจะถูกบันทึกเป็น $HOME/.gvfsd/.profile/gvfsd -helper และ $HOME/ .dbus/sessions/session-dbus ไฟล์ปฏิบัติการทั้งสองไฟล์ถูกเปิดใช้งานพร้อมกัน โดยแต่ละไฟล์จะตรวจสอบการมีอยู่ของไฟล์อื่นและกู้คืนหากไฟล์ถูกยุติ
เพื่อซ่อนผลลัพธ์ของกิจกรรมในประตูหลัง มีการใช้อัลกอริธึมการเข้ารหัสหลายอย่าง เช่น AES ถูกใช้เพื่อเข้ารหัสทรัพยากร และการรวมกันของ AES, XOR และ ROTATE ร่วมกับการบีบอัดโดยใช้ ZLIB ถูกนำมาใช้เพื่อซ่อนช่องทางการสื่อสาร ด้วยเซิร์ฟเวอร์ควบคุม
เพื่อรับคำสั่งควบคุม มัลแวร์ติดต่อ 4 โดเมนผ่านพอร์ตเครือข่าย 443 (ช่องทางการสื่อสารใช้โปรโตคอลของตัวเอง ไม่ใช่ HTTPS และ TLS) โดเมน (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com และ news.thaprior.net) ได้รับการจดทะเบียนในปี 2015 และโฮสต์โดย Deltahost ผู้ให้บริการโฮสติ้ง Kyiv ฟังก์ชันพื้นฐาน 12 รายการถูกรวมเข้ากับประตูหลัง ซึ่งช่วยให้สามารถโหลดและเรียกใช้ปลั๊กอินด้วยฟังก์ชันขั้นสูง ส่งข้อมูลอุปกรณ์ สกัดกั้นข้อมูลที่ละเอียดอ่อน และจัดการไฟล์ในเครื่อง
ที่มา: opennet.ru