Phòng thí nghiệm nghiên cứu 360 Netlab đã báo cáo việc xác định phần mềm độc hại mới dành cho Linux, có tên mã là RotaJakiro và bao gồm cả việc triển khai một cửa sau cho phép bạn kiểm soát hệ thống. Phần mềm độc hại có thể đã được kẻ tấn công cài đặt sau khi khai thác các lỗ hổng chưa được vá trong hệ thống hoặc đoán mật khẩu yếu.
Cửa hậu được phát hiện trong quá trình phân tích lưu lượng truy cập đáng ngờ từ một trong các quy trình hệ thống, được xác định trong quá trình phân tích cấu trúc của mạng botnet được sử dụng cho cuộc tấn công DDoS. Trước đó, RotaJakiro vẫn không bị phát hiện trong ba năm; đặc biệt, những nỗ lực đầu tiên để quét các tệp có băm MD5 khớp với phần mềm độc hại được xác định trong dịch vụ VirusTotal là vào tháng 2018 năm XNUMX.
Một trong những tính năng của RotaJakiro là sử dụng các kỹ thuật ngụy trang khác nhau khi chạy với tư cách là người dùng và root không có đặc quyền. Để che giấu sự hiện diện của mình, cửa sau đã sử dụng các tên quy trình systemd-daemon, session-dbus và gvfsd-helper, do sự lộn xộn của các bản phân phối Linux hiện đại với đủ loại quy trình dịch vụ, thoạt nhìn có vẻ hợp pháp và không gây nghi ngờ.
Khi chạy với quyền root, các tập lệnh /etc/init/systemd-agent.conf và /lib/systemd/system/sys-temd-agent.service đã được tạo để kích hoạt phần mềm độc hại và bản thân tệp thực thi độc hại được định vị là / bin/systemd/systemd -daemon và /usr/lib/systemd/systemd-daemon (chức năng được sao chép trong hai tệp). Khi chạy với tư cách người dùng chuẩn, tệp tự khởi động $HOME/.config/au-tostart/gnomehelper.desktop đã được sử dụng và các thay đổi được thực hiện đối với .bashrc, đồng thời tệp thực thi được lưu dưới dạng $HOME/.gvfsd/.profile/gvfsd -helper và $HOME/ .dbus/sessions/session-dbus. Cả hai tệp thực thi đều được khởi chạy đồng thời, mỗi tệp sẽ theo dõi sự hiện diện của tệp kia và khôi phục nó nếu nó chấm dứt.
Để ẩn kết quả hoạt động của họ trong cửa sau, một số thuật toán mã hóa đã được sử dụng, chẳng hạn như AES được sử dụng để mã hóa tài nguyên của họ và sự kết hợp giữa AES, XOR và ROTATE kết hợp với nén bằng ZLIB đã được sử dụng để ẩn kênh liên lạc với máy chủ điều khiển.
Để nhận lệnh điều khiển, mã độc đã liên hệ với 4 miền qua cổng mạng 443 (kênh liên lạc sử dụng giao thức riêng chứ không phải HTTPS và TLS). Các miền (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com và news.thaprior.net) đã được đăng ký vào năm 2015 và được lưu trữ bởi nhà cung cấp dịch vụ lưu trữ Deltahost ở Kyiv. 12 chức năng cơ bản đã được tích hợp vào cửa sau, cho phép tải và thực thi các plugin có chức năng nâng cao, truyền dữ liệu thiết bị, chặn dữ liệu nhạy cảm và quản lý các tệp cục bộ.
Nguồn: opennet.ru