360 Netlab tadqiqot laboratoriyasi Linux uchun RotaJakiro kodli yangi zararli dasturiy ta'minot aniqlangani va tizimni boshqarish imkonini beruvchi orqa eshikni o'z ichiga olgani haqida xabar berdi. Zararli dastur tajovuzkorlar tomonidan tizimdagi yamalmagan zaifliklardan foydalangandan yoki zaif parollarni taxmin qilgandan keyin o'rnatilgan bo'lishi mumkin.
Backdoor DDoS hujumi uchun foydalaniladigan botnet strukturasini tahlil qilish chog‘ida aniqlangan tizim jarayonlaridan birining shubhali trafigini tahlil qilish chog‘ida aniqlangan. Bungacha RotaJakiro uch yil davomida aniqlanmadi; xususan, VirusTotal xizmatida aniqlangan zararli dasturlarga mos keladigan MD5 xeshli fayllarni skanerlashga birinchi urinishlar 2018-yilning may oyida bo‘lib o‘tgan.
RotaJakiro-ning xususiyatlaridan biri - bu imtiyozsiz foydalanuvchi va ildiz sifatida ishlayotganda turli kamuflyaj usullaridan foydalanish. Mavjudligini yashirish uchun backdoor systemd-daemon, session-dbus va gvfsd-helper jarayonlar nomlaridan foydalandi, bu esa zamonaviy Linux distribyutorlarining barcha turdagi xizmat jarayonlari bilan tartibsizligini hisobga olsak, bir qarashda qonuniy tuyuldi va shubha uyg'otmadi.
Ildiz huquqlari bilan ishga tushirilganda zararli dasturni faollashtirish uchun /etc/init/systemd-agent.conf va /lib/systemd/system/sys-temd-agent.service skriptlari yaratilgan va zararli bajariladigan faylning o'zi / sifatida joylashgan edi. bin/systemd/systemd -daemon va /usr/lib/systemd/systemd-daemon (funktsionallik ikkita faylda takrorlangan). Standart foydalanuvchi sifatida ishga tushganda, avtomatik ishga tushirish fayli $HOME/.config/au-tostart/gnomehelper.desktop ishlatilgan va .bashrc ga oʻzgartirishlar kiritilgan va bajariladigan fayl $HOME/.gvfsd/.profile/gvfsd sifatida saqlangan. -yordamchi va $HOME/ .dbus/sessions/session-dbus. Ikkala bajariladigan fayl bir vaqtning o'zida ishga tushirildi, ularning har biri ikkinchisining mavjudligini nazorat qildi va agar u tugatilgan bo'lsa, uni tikladi.
Ularning faoliyati natijalarini orqa eshikda yashirish uchun bir nechta shifrlash algoritmlari ishlatilgan, masalan, ularning resurslarini shifrlash uchun AES ishlatilgan va aloqa kanalini yashirish uchun ZLIB yordamida siqish bilan birgalikda AES, XOR va ROTATE kombinatsiyasi ishlatilgan. boshqaruv serveri bilan.
Boshqarish buyruqlarini olish uchun zararli dastur 4-tarmoq porti orqali 443 ta domen bilan bog‘landi (aloqa kanali HTTPS va TLS emas, o‘zining protokolidan foydalangan). Domenlar (cdn.mirror-codes.net, status.sublineover.net, blog.edulects.com va news.thaprior.net) 2015-yilda ro‘yxatga olingan va Kiev Deltahost hosting provayderi tomonidan joylashtirilgan. Backdoorga 12 ta asosiy funksiya birlashtirildi, bu esa ilg‘or funksionallikka ega plaginlarni yuklash va ishga tushirish, qurilma ma’lumotlarini uzatish, nozik ma’lumotlarni ushlab qolish va mahalliy fayllarni boshqarish imkonini berdi.
Manba: opennet.ru