Araştırma laboratuvarı 360 Netlab, Linux için RotaJakiro kod adlı ve sistemi kontrol etmenize olanak tanıyan bir arka kapının uygulanmasını içeren yeni kötü amaçlı yazılımın tanımlandığını bildirdi. Kötü amaçlı yazılım, sistemdeki yamalanmamış güvenlik açıklarından yararlanan veya zayıf şifreleri tahmin eden saldırganlar tarafından yüklenmiş olabilir.
Arka kapı, DDoS saldırısı için kullanılan botnet yapısının analizi sırasında tespit edilen, sistem süreçlerinden birinden gelen şüpheli trafiğin analizi sırasında keşfedildi. Bundan önce, RotaJakiro üç yıl boyunca tespit edilmeden kalmıştı; özellikle, VirusTotal hizmetinde tanımlanan kötü amaçlı yazılımla eşleşen MD5 hash'lerine sahip dosyaları taramaya yönelik ilk girişimler Mayıs 2018 tarihliydi.
RotaJakiro'nun özelliklerinden biri de ayrıcalıksız kullanıcı ve root olarak çalışırken farklı kamuflaj tekniklerinin kullanılmasıdır. Arka kapı, varlığını gizlemek için systemd-daemon, session-dbus ve gvfsd-helper süreç adlarını kullandı; bu, modern Linux dağıtımlarının her türlü hizmet süreciyle dolu olduğu göz önüne alındığında, ilk bakışta meşru görünüyordu ve şüphe uyandırmıyordu.
Kök haklarıyla çalıştırıldığında, kötü amaçlı yazılımı etkinleştirmek için /etc/init/systemd-agent.conf ve /lib/systemd/system/sys-temd-agent.service komut dosyaları oluşturuldu ve kötü amaçlı yürütülebilir dosyanın kendisi / olarak konumlandırıldı. bin/systemd/systemd -daemon ve /usr/lib/systemd/systemd-daemon (işlevsellik iki dosyada çoğaltılmıştır). Standart kullanıcı olarak çalıştırırken, $HOME/.config/au-tostart/gnomehelper.desktop otomatik başlatma dosyası kullanıldı ve .bashrc'de değişiklikler yapıldı ve çalıştırılabilir dosya $HOME/.gvfsd/.profile/gvfsd olarak kaydedildi. -helper ve $HOME/ .dbus/sessions/session-dbus. Her iki yürütülebilir dosya da aynı anda başlatıldı; her biri diğerinin varlığını izledi ve sonlandırıldığında onu geri yükledi.
Faaliyetlerinin sonuçlarını arka kapıda gizlemek için çeşitli şifreleme algoritmaları kullanıldı; örneğin, kaynaklarını şifrelemek için AES kullanıldı ve iletişim kanalını gizlemek için ZLIB kullanarak sıkıştırma ile birlikte AES, XOR ve ROTATE kombinasyonu kullanıldı. kontrol sunucusuyla.
Kötü amaçlı yazılım, kontrol komutlarını almak için ağ bağlantı noktası 4 aracılığıyla 443 alanla iletişim kurdu (iletişim kanalı, HTTPS ve TLS değil, kendi protokolünü kullanıyordu). Etki alanları (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ve news.thaprior.net) 2015 yılında kaydedildi ve Kiev barındırma sağlayıcısı Deltahost tarafından barındırıldı. Arka kapıya, gelişmiş işlevlere sahip eklentilerin yüklenmesine ve çalıştırılmasına, cihaz verilerinin iletilmesine, hassas verilerin ele geçirilmesine ve yerel dosyaların yönetilmesine olanak tanıyan 12 temel işlev entegre edildi.
Kaynak: opennet.ru