Дослідницька лабораторія 360 Netlab повідомила про виявлення нового шкідливого ПЗ для Linux, получившего кодовое имя RotaJakiro и включающего реализацию бэкдора, позволяющего управлять системой. Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей.
Бекдор був виявлений в ході аналізу підозрілого трафіку від одного із системних процесів, виявленого при розборі структури ботнету, що використовується для DDoS-атаки. До цього RotaJakiro залишався непоміченим протягом трьох років, зокрема перші спроби перевірки у сервісі VirusTotal файлів з MD5-хешами, що збігаються з виявленим шкідливим ПЗ, датовані травнем 2018 року.
Из особенностей RotaJakiro называется использование разных техник маскировки при запуске с правами непривилегированного пользователя и root. Для скрытия своего присутствия бэкдор использовал имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, с учётом загромождения современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались легитимными и не вызывали подозрений.
При запуску з правами root для активації шкідливого програмного забезпечення створювалися скрипти /etc/init/systemd-agent.conf і /lib/systemd/system/sys-temd-agent.service, а сам шкідливий виконуваний файл розміщувався як /bin/systemd/systemd -daemon та /usr/lib/systemd/systemd-daemon (функціональність дублювалася у двох файлах). При виконанні з правами звичайного користувача використовувався файл автозапуску $HOME/.config/au-tostart/gnomehelper.desktop і вносилися зміни до .bashrc, а виконуваний файл зберігався як $HOME/.gvfsd/.profile/gvfsd-helper та $HOME/ .dbus/sessions/session-dbus. Одночасно запускалися обидва виконувані файли, кожен з яких стежив за наявністю іншого і відновлював його у разі завершення роботи.
Для приховання результатів своєї діяльності в бекдорі застосовувалося кілька алгоритмів шифрування, наприклад, для шифрування своїх ресурсів використовувався AES, а для приховання каналу зв'язку з керуючим сервером зв'язка з AES, XOR та ROTATE у поєднанні зі стисненням за допомогою ZLIB.
Для отримання керуючих команд шкідливе програмне забезпечення зверталося до 4 доменів через мережевий порт 443 (в каналі зв'язку використовувався свій протокол, а не HTTPS і TLS). Домени (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com та news.thaprior.net) були зареєстровані у 2015 році та розміщені у київського хостинг-провайдера Deltahost. У бекдор було інтегровано 12 базових функцій, які дозволяли завантажувати та виконувати плагіни з розширеною функціональністю, передавати дані про пристрій, перехоплювати конфіденційні дані та керувати локальними файлами.
Джерело: opennet.ru
