研究實驗室 360 Netlab 報告了針對 Linux 的新惡意軟體的識別,代號為 RotaJakiro,其中包括一個允許您控制系統的後門的實作。 該惡意軟體可能是攻擊者利用系統中未修補的漏洞或猜測弱密碼後安裝的。
該後門是在分析來自其中一個系統進程的可疑流量時發現的,該流量是在分析用於 DDoS 攻擊的殭屍網路結構時發現的。 在此之前,RotaJakiro 三年來一直未被檢測到;特別是,第一次嘗試掃描 MD5 雜湊值與 VirusTotal 服務中已識別惡意軟體相符的文件的日期是 2018 年 XNUMX 月。
RotaJakiro 的功能之一是在以非特權使用者和 root 身分執行時使用不同的偽裝技術。 為了隱藏其存在,後門使用了進程名稱 systemd-daemon、session-dbus 和 gvfsd-helper,鑑於現代 Linux 發行版中各種服務進程的混亂,乍一看似乎是合法的,並且沒有引起懷疑。
當以 root 權限執行時,會建立腳本 /etc/init/systemd-agent.conf 和 /lib/systemd/system/sys-temd-agent.service 來啟動惡意軟體,惡意可執行檔案本身位於 / bin/systemd /systemd -daemon 和/usr/lib/systemd/systemd-daemon (功能在兩個檔案中重複)。 以標準使用者身分執行時,使用自動啟動檔案 $HOME/.config/au-tostart/gnomehelper.desktop 並對 .bashrc 進行更改,並將執行檔儲存為 $HOME/.gvfsd/.profile/gvfsd -helper和$HOME/.dbus/sessions/session-dbus。 兩個可執行檔同時啟動,每個檔案都監視另一個檔案的存在,並在終止時恢復它。
為了隱藏後門活動的結果,使用了多種加密演算法,例如,使用 AES 來加密其資源,並使用 AES、XOR 和 ROTATE 的組合以及使用 ZLIB 的壓縮來隱藏通訊通道與控制伺服器。
為了接收控制命令,惡意軟體透過網路連接埠 4 聯繫 443 個網域(通訊通道使用自己的協議,而不是 HTTPS 和 TLS)。 這些網域(cdn.mirror-codes.net、status.sublineover.net、blog.eduelects.com 和 news.thaprior.net)於 2015 年註冊,並由基輔託管提供者 Deltahost 託管。 此後門整合了12個基本功能,允許載入和執行具有高級功能的插件、傳輸設備資料、攔截敏感資料和管理本地文件。
來源: opennet.ru