Дослідницька лабораторія 360 Netlab повідомила про виявлення нового шкідливого програмного забезпечення для Linux, що отримав кодове ім'я RotaJakiro і включає реалізацію бекдору, що дозволяє керувати системою. Шкідливе ПЗ могло бути встановлене атакуючими після експлуатації невиправлених уразливостей у системі або підбору ненадійних паролів.
Бекдор був виявлений в ході аналізу підозрілого трафіку від одного із системних процесів, виявленого при розборі структури ботнету, що використовується для DDoS-атаки. До цього RotaJakiro залишався непоміченим протягом трьох років, зокрема перші спроби перевірки у сервісі VirusTotal файлів з MD5-хешами, що збігаються з виявленим шкідливим ПЗ, датовані травнем 2018 року.
З особливостей RotaJakiro називається використання різних технік маскування при запуску з правами непривілейованого користувача та root. Для приховання своєї присутності бекдор використовував імена процесів systemd-daemon, session-dbus та gvfsd-helper, які, з урахуванням захаращення сучасних дистрибутивів Linux усілякими службовими процесами, на перший погляд здавалися легітимними та не викликали підозр.
При запуску з правами root для активації шкідливого програмного забезпечення створювалися скрипти /etc/init/systemd-agent.conf і /lib/systemd/system/sys-temd-agent.service, а сам шкідливий виконуваний файл розміщувався як /bin/systemd/systemd -daemon та /usr/lib/systemd/systemd-daemon (функціональність дублювалася у двох файлах). При виконанні з правами звичайного користувача використовувався файл автозапуску $HOME/.config/au-tostart/gnomehelper.desktop і вносилися зміни до .bashrc, а виконуваний файл зберігався як $HOME/.gvfsd/.profile/gvfsd-helper та $HOME/ .dbus/sessions/session-dbus. Одночасно запускалися обидва виконувані файли, кожен з яких стежив за наявністю іншого і відновлював його у разі завершення роботи.
Для приховання результатів своєї діяльності в бекдорі застосовувалося кілька алгоритмів шифрування, наприклад, для шифрування своїх ресурсів використовувався AES, а для приховання каналу зв'язку з сервером зв'язки з AES, XOR і ROTATE в поєднанні зі стисненням за допомогою ZLIB.
Для отримання керуючих команд шкідливе програмне забезпечення зверталося до 4 доменів через мережевий порт 443 (в каналі зв'язку використовувався свій протокол, а не HTTPS і TLS). Домени (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com та news.thaprior.net) були зареєстровані у 2015 році та розміщені у київського хостинг-провайдера Deltahost. У бекдор було інтегровано 12 базових функцій, які дозволяли завантажувати та виконувати плагіни з розширеною функціональністю, передавати дані про пристрій, перехоплювати конфіденційні дані та керувати локальними файлами.
Джерело: opennet.ru