RotaJakiro איז אַ נייַע לינוקס מאַלוואַרע וואָס איז מאַסיוו ווי אַ סיסטעם פּראָצעס

פאָרשונג לאַבאָראַטאָריע 360 Netlab האָט געמאלדן די לעגיטימאַציע פון ​​נייַע מאַלוואַרע פֿאַר לינוקס, קאָדענאַמעד ראָטאַדזשאַקיראָ און אַרייַנגערעכנט די ימפּלאַמענטיישאַן פון אַ באַקדאָר וואָס אַלאַוז איר צו קאָנטראָלירן די סיסטעם. די מאַלוואַרע קען זיין אינסטאַלירן דורך אַטאַקערז נאָך עקספּלויטינג אַנפּאַטשט וואַלנעראַביליטיז אין די סיסטעם אָדער געסינג שוואַך פּאַסווערדז.

די באַקדאָר איז דיסקאַווערד בעשאַס די אַנאַליסיס פון סאַספּישאַס פאַרקער פון איינער פון די סיסטעם פּראַסעסאַז, יידענאַפייד בעשאַס אַנאַליסיס פון די סטרוקטור פון די באָטנעט געניצט פֿאַר די DDoS באַפאַלן. איידער דעם, RotaJakiro איז געבליבן אַנדיטעקטיד פֿאַר דריי יאָר; אין באַזונדער, די ערשטער פרווון צו יבערקוקן טעקעס מיט MD5 האַשעס וואָס ריכטן זיך מיט די יידענאַפייד מאַלוואַרע אין די VirusTotal סערוויס זענען דייטיד מאי 2018.

איינער פון די פֿעיִקייטן פון RotaJakiro איז די נוצן פון פאַרשידענע קאַמאַפלאַזש טעקניקס ווען פליסנדיק ווי אַ אַנפּריווילידזשד באַניצער און וואָרצל. צו באַהאַלטן זיין בייַזייַן, די באַקדאָר געניצט די פּראָצעס נעמען systemd-daemon, session-dbus און gvfsd-helper, וואָס, געגעבן די קלאַטער פון מאָדערן לינוקס דיסטריביושאַנז מיט אַלע סאָרץ פון סערוויס פּראַסעסאַז, אין ערשטער בליק געווען לאַדזשיטאַמאַט און האט נישט דערוועקן קיין חשד.

ווען לויפן מיט וואָרצל רעכט, די סקריפּס /etc/init/systemd-agent.conf און /lib/systemd/system/sys-temd-agent.service זענען באשאפן צו אַקטאַווייט די מאַלוואַרע, און די בייזע עקסעקוטאַבלע טעקע זיך איז געווען ליגן ווי / bin/systemd/systemd -daemon און /usr/lib/systemd/systemd-daemon (פאַנגקשאַנאַליטי איז געווען דופּליקייטיד אין צוויי טעקעס). ווען פליסנדיק ווי אַ נאָרמאַל באַניצער, די אַוטאָסטאַרט טעקע $HOME/.config/au-tostart/gnomehelper.desktop איז געניצט און ענדערונגען זענען געמאכט צו .באַשרק, און די עקסעקוטאַבלע טעקע איז געראטעוועט ווי $HOME/.gvfsd/.profile/gvfsd -העלפער און $HOME/ .dbus/sessions/session-dbus. ביידע עקסעקוטאַבלע טעקעס זענען לאָנטשט סיימאַלטייניאַסלי, יעדער פון וואָס מאָניטאָרעד די בייַזייַן פון די אנדערע און געזונט עס אויב עס טערמאַנייטיד.

צו באַהאַלטן די רעזולטאַטן פון זייער אַקטיוויטעטן אין די באַקדאָר, עטלעכע ענקריפּשאַן אַלגערידאַמז זענען געניצט, למשל, AES איז געניצט צו ינקריפּט זייער רעסורסן, און אַ קאָמבינאַציע פון ​​​​AES, XOR און ROTATE אין קאָמבינאַציע מיט קאַמפּרעשאַן ניצן ZLIB איז געניצט צו באַהאַלטן די קאָמוניקאַציע קאַנאַל. מיט די קאָנטראָל סערווער.

צו באַקומען קאָנטראָל קאַמאַנדז, די מאַלוואַרע קאָנטאַקטעד 4 דאָומיינז דורך נעץ פּאָרט 443 (דער קאָמוניקאַציע קאַנאַל געניצט זיין אייגענע פּראָטאָקאָל, נישט HTTPS און TLS). די דאָומיינז (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com און news.thaprior.net) זענען רעגיסטרירט אין 2015 און כאָוסטיד דורך די קייוו האָסטינג שפּייַזער Deltahost. 12 יקערדיק פאַנגקשאַנז זענען ינאַגרייטיד אין די באַקדאָר, וואָס ערלויבט לאָודינג און עקסאַקיוטינג פּלוגינס מיט אַוואַנסירטע פאַנגקשאַנאַליטי, טראַנסמיטינג מיטל דאַטן, ינטערסעפּטינג שפּירעוודיק דאַטן און אָנפירונג היגע טעקעס.

מקור: opennet.ru