Iwadi yàrá 360 Netlab ṣe ijabọ idanimọ ti malware tuntun fun Linux, codenamed RotaJakiro ati pẹlu imuse ti ẹnu-ọna ẹhin ti o fun ọ laaye lati ṣakoso eto naa. malware le ti ti fi sori ẹrọ nipasẹ awọn olukaluku lẹhin lilo awọn ailagbara ti a ko parẹ ninu eto tabi ṣiro awọn ọrọ igbaniwọle alailagbara.
A ṣe awari ẹnu-ọna ẹhin lakoko itupalẹ awọn ijabọ ifura lati ọkan ninu awọn ilana eto, ti a ṣe idanimọ lakoko igbekale ti eto botnet ti a lo fun ikọlu DDoS. Ṣaaju si eyi, RotaJakiro ko ṣe akiyesi fun ọdun mẹta; ni pataki, awọn igbiyanju akọkọ lati ṣe ọlọjẹ awọn faili pẹlu hashes MD5 ti o baamu malware ti a mọ ni iṣẹ VirusTotal jẹ ọjọ May 2018.
Ọkan ninu awọn ẹya ara ẹrọ ti RotaJakiro ni lilo awọn ilana imudani ti o yatọ nigbati o nṣiṣẹ bi olumulo ti ko ni anfani ati gbongbo. Lati tọju wiwa rẹ, ẹhin ẹhin lo awọn orukọ ilana systemd-daemon, session-dbus ati gvfsd-helper, eyiti, fun idimu ti awọn pinpin Linux ode oni pẹlu gbogbo iru awọn ilana iṣẹ, ni wiwo akọkọ dabi ẹni pe o tọ ati pe ko fa ifura.
Nigbati o ba ṣiṣẹ pẹlu awọn ẹtọ gbongbo, awọn iwe afọwọkọ /etc/init/systemd-agent.conf ati /lib/systemd/system/sys-temd-agent.service ni a ṣẹda lati mu malware ṣiṣẹ, ati pe faili ti o ṣiṣẹ irira funrararẹ wa bi / bin/systemd/systemd -daemon ati /usr/lib/systemd/systemd-daemon (iṣẹ-ṣiṣe ti ṣe ẹda ni awọn faili meji). Nigbati o ba n ṣiṣẹ bi olumulo boṣewa, faili autostart $ HOME/.config/au-tostart/gnomehelper.desktop ti lo ati awọn ayipada ti a ṣe si .bashrc, ati pe faili ti o le ṣiṣẹ ti wa ni fipamọ bi $HOME/.gvfsd/.profile/gvfsd -oluranlọwọ ati $ ILE / .dbus / igba / igba-dbus. Mejeeji awọn faili ṣiṣe ṣiṣẹ ni a ṣe ifilọlẹ ni nigbakannaa, ọkọọkan eyiti o ṣe abojuto wiwa ti ekeji ati mu pada ti o ba pari.
Lati tọju awọn abajade ti awọn iṣẹ wọn ni ẹhin, ọpọlọpọ awọn algoridimu fifi ẹnọ kọ nkan ni a lo, fun apẹẹrẹ, AES ni a lo lati parọ awọn orisun wọn, ati apapo AES, XOR ati ROTATE ni apapo pẹlu titẹkuro nipa lilo ZLIB ni a lo lati tọju ikanni ibaraẹnisọrọ. pẹlu olupin iṣakoso.
Lati gba awọn aṣẹ iṣakoso, malware kan si awọn ibugbe 4 nipasẹ ibudo nẹtiwọki 443 (ikanni ibaraẹnisọrọ lo ilana tirẹ, kii ṣe HTTPS ati TLS). Awọn ibugbe (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ati news.thaprior.net) ti forukọsilẹ ni 2015 ati ti gbalejo nipasẹ olupese alejo gbigba Kyiv Deltahost. Awọn iṣẹ ipilẹ 12 ni a ṣe sinu ẹhin, eyiti o fun laaye ikojọpọ ati ṣiṣe awọn afikun pẹlu iṣẹ ṣiṣe ilọsiwaju, gbigbe data ẹrọ, kikọlu data ifura ati iṣakoso awọn faili agbegbe.
orisun: opennet.ru