ریسرچ لیبارٹری 360 نیٹ لیب نے لینکس کے لیے نئے میلویئر کی شناخت کی اطلاع دی، جس کا کوڈ نام RotaJakiro ہے اور اس میں بیک ڈور کا نفاذ بھی شامل ہے جو آپ کو سسٹم کو کنٹرول کرنے کی اجازت دیتا ہے۔ میلویئر حملہ آوروں کے ذریعہ سسٹم میں غیر پیچیدگیوں سے فائدہ اٹھانے یا کمزور پاس ورڈز کا اندازہ لگانے کے بعد انسٹال کیا جا سکتا تھا۔
بیک ڈور سسٹم کے عمل میں سے ایک سے مشکوک ٹریفک کے تجزیے کے دوران دریافت ہوا، جس کی شناخت DDoS حملے کے لیے استعمال ہونے والے بوٹ نیٹ کی ساخت کے تجزیہ کے دوران ہوئی۔ اس سے پہلے، RotaJakiro کا تین سال تک پتہ نہیں چلا؛ خاص طور پر، وائرس ٹوٹل سروس میں شناخت شدہ میلویئر سے مماثل MD5 ہیش کے ساتھ فائلوں کو اسکین کرنے کی پہلی کوششیں مئی 2018 میں کی گئی تھیں۔
روٹا جیکیرو کی خصوصیات میں سے ایک غیر مراعات یافتہ صارف اور جڑ کے طور پر چلتے وقت مختلف چھلاورن کی تکنیکوں کا استعمال ہے۔ اپنی موجودگی کو چھپانے کے لیے، بیک ڈور نے پراسیس کے نام systemd-daemon، session-dbus اور gvfsd-helper کا استعمال کیا، جو کہ جدید لینکس ڈسٹری بیوشنز کے ہر طرح کے سروس پروسیس کے ساتھ بے ترتیبی کو دیکھتے ہوئے، پہلی نظر میں جائز معلوم ہوتا تھا اور اس نے شک کو جنم نہیں دیا۔
جب روٹ رائٹس کے ساتھ چلایا جاتا ہے تو، اسکرپٹس /etc/init/systemd-agent.conf اور /lib/systemd/system/sys-temd-agent.service کو میلویئر کو فعال کرنے کے لیے بنایا گیا تھا، اور بدنیتی پر مبنی ایگزیکیوٹیبل فائل خود ہی موجود تھی / bin/systemd/systemd -daemon اور /usr/lib/systemd/systemd-daemon (فعالیت کو دو فائلوں میں نقل کیا گیا تھا)۔ معیاری صارف کے طور پر چلتے وقت، آٹو اسٹارٹ فائل $HOME/.config/au-tostart/gnomehelper.desktop استعمال کی گئی تھی اور .bashrc میں تبدیلیاں کی گئی تھیں، اور قابل عمل فائل کو $HOME/.gvfsd/.profile/gvfsd کے بطور محفوظ کیا گیا تھا۔ -مددگار اور $HOME/ .dbus/sessions/session-dbus۔ دونوں قابل عمل فائلوں کو ایک ساتھ لانچ کیا گیا تھا، جن میں سے ہر ایک دوسرے کی موجودگی کی نگرانی کرتا تھا اور اگر یہ ختم ہوجاتا ہے تو اسے بحال کرتا ہے۔
بیک ڈور میں ان کی سرگرمیوں کے نتائج کو چھپانے کے لیے، کئی انکرپشن الگورتھم استعمال کیے گئے، مثال کے طور پر، ان کے وسائل کو خفیہ کرنے کے لیے AES کا استعمال کیا گیا، اور کمیونیکیشن چینل کو چھپانے کے لیے ZLIB کا استعمال کرتے ہوئے کمپریشن کے ساتھ AES، XOR اور ROTATE کا مجموعہ استعمال کیا گیا۔ کنٹرول سرور کے ساتھ۔
کنٹرول کمانڈز حاصل کرنے کے لیے، میلویئر نے نیٹ ورک پورٹ 4 کے ذریعے 443 ڈومینز سے رابطہ کیا (مواصلاتی چینل نے اپنا پروٹوکول استعمال کیا، نہ کہ HTTPS اور TLS)۔ ڈومینز (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com اور news.thaprior.net) 2015 میں رجسٹر کیے گئے تھے اور کییو ہوسٹنگ فراہم کرنے والے ڈیلٹا ہوسٹ نے ان کی میزبانی کی تھی۔ 12 بنیادی فنکشنز کو بیک ڈور میں ضم کیا گیا تھا، جس سے پلگ ان کو جدید فعالیت کے ساتھ لوڈ کرنے اور اس پر عمل کرنے، ڈیوائس ڈیٹا کو منتقل کرنے، حساس ڈیٹا کو روکنے اور مقامی فائلوں کا نظم کرنے کی اجازت دی گئی۔
ماخذ: opennet.ru