研究实验室 360 Netlab 报告了针对 Linux 的新恶意软件的识别,代号为 RotaJakiro,其中包括一个允许您控制系统的后门的实现。 该恶意软件可能是攻击者利用系统中未修补的漏洞或猜测弱密码后安装的。
该后门是在分析来自其中一个系统进程的可疑流量时发现的,该流量是在分析用于 DDoS 攻击的僵尸网络结构时发现的。 在此之前,RotaJakiro 三年来一直未被检测到;特别是,第一次尝试扫描 MD5 哈希值与 VirusTotal 服务中已识别恶意软件相匹配的文件的日期是 2018 年 XNUMX 月。
RotaJakiro 的功能之一是在以非特权用户和 root 身份运行时使用不同的伪装技术。 为了隐藏其存在,后门使用了进程名称 systemd-daemon、session-dbus 和 gvfsd-helper,鉴于现代 Linux 发行版中各种服务进程的混乱,乍一看似乎是合法的,并且没有引起怀疑。
当以 root 权限运行时,会创建脚本 /etc/init/systemd-agent.conf 和 /lib/systemd/system/sys-temd-agent.service 来激活恶意软件,恶意可执行文件本身位于 / bin/systemd/systemd -daemon 和 /usr/lib/systemd/systemd-daemon (功能在两个文件中重复)。 以标准用户身份运行时,使用自动启动文件 $HOME/.config/au-tostart/gnomehelper.desktop 并对 .bashrc 进行更改,并将可执行文件保存为 $HOME/.gvfsd/.profile/gvfsd -helper 和 $HOME/.dbus/sessions/session-dbus。 两个可执行文件同时启动,每个文件都监视另一个文件的存在,并在终止时恢复它。
为了隐藏后门活动的结果,使用了多种加密算法,例如,使用 AES 来加密其资源,并使用 AES、XOR 和 ROTATE 的组合以及使用 ZLIB 的压缩来隐藏通信通道与控制服务器。
为了接收控制命令,恶意软件通过网络端口 4 联系 443 个域(通信通道使用自己的协议,而不是 HTTPS 和 TLS)。 这些域名(cdn.mirror-codes.net、status.sublineover.net、blog.eduelects.com 和 news.thaprior.net)于 2015 年注册,由基辅托管提供商 Deltahost 托管。 该后门集成了12个基本功能,允许加载和执行具有高级功能的插件、传输设备数据、拦截敏感数据和管理本地文件。
来源: opennet.ru