RotaJakiro: nový linuxový malware maskovaný jako systémový proces

Oznámena společnost Research Lab 360 Netlab identifikace nového malwaru pro Linux s kódovým označením RotaJakiro a to zahrnuje implementaci backdooru který umožňuje ovládání systému. Útočníci mohli nainstalovat škodlivý software poté, co využili neopravené chyby zabezpečení v systému nebo uhádli slabá hesla.

Zadní vrátka byla objevena během podezřelé analýzy provozu jednoho ze systémových procesů identifikovaných během analýzy struktury botnetu použité pro útok DDoS. Před tím zůstala RotaJakiro tři roky bez povšimnutí, zejména první pokusy o ověření souborů s hash MD5 ve službě VirusTotal, které odpovídají zjištěnému malwaru, se datují k květnu 2018.

Pojmenovali jsme jej RotaJakiro na základě skutečnosti, že rodina používá rotační šifrování a při spuštění se chová odlišně od účtů root / non-root.

RotaJakiro věnuje velkou pozornost skrytí svých stop pomocí několika šifrovacích algoritmů, včetně: použití algoritmu AES k zašifrování informací o zdroji ve vzorku; Komunikace C2 pomocí kombinace AES, XOR, šifrování ROTATE a komprese ZLIB.

Jednou z charakteristik RotaJakiro je použití různých technik maskování při spuštění jako neprivilegovaný uživatel a root. Chcete-li skrýt svou přítomnost, malware použil názvy procesů systemd-daemon, session-dbus a gvfsd-helper, které se vzhledem k nepořádku moderních linuxových distribucí se všemi druhy servisních procesů na první pohled zdály legitimní a nevzbuzovaly podezření.

RotaJakiro používá techniky, jako je dynamický AES, dvouvrstvé šifrované komunikační protokoly, aby potlačil binární a síťový provoz.
RotaJakiro nejprve určí, zda je uživatel za běhu root nebo jiný než root, s různými zásadami provádění pro různé účty, a poté dešifruje příslušné citlivé prostředky.

Při spuštění jako root byly pro aktivaci malwaru vytvořeny skripty systemd-agent.conf a sys-temd-agent.service a škodlivý spustitelný soubor byl umístěn v následujících cestách: / bin / systemd / systemd -daemon a / usr / lib / systemd / systemd-daemon (funkce duplikována ve dvou souborech).

zatímco při spuštění jako normální uživatel byl použit soubor autorun $ HOME / .config / au-tostart / gnomehelper.desktop a byly provedeny změny v .bashrc a spustitelný soubor byl uložen jako $ HOME / .gvfsd / .profile / gvfsd-helper a $ HOME / .dbus / sessions / session -dbus. Oba spustitelné soubory byly spuštěny současně, každý z nich sledoval přítomnost druhého a obnovil jej v případě vypnutí.

RotaJakiro podporuje celkem 12 funkcí, z nichž tři souvisejí s prováděním konkrétních pluginů. Bohužel nemáme viditelnost pluginů, a proto neznáme jejich skutečný účel. Z pohledu širokého hatchbacku lze funkce seskupit do následujících čtyř kategorií.

Nahlásit informace o zařízení
Ukradněte citlivé informace
Správa souborů / pluginů (kontrola, stahování, mazání)
Spuštění konkrétního pluginu

Ke skrytí výsledků jeho činnosti na zadní vrátce byly použity různé šifrovací algoritmy, například AES byla použita k šifrování jeho zdrojů a ke skrytí komunikačního kanálu s řídícím serverem, kromě použití AES, XOR a ROTATE v kombinace s kompresí pomocí ZLIB. K přijímání řídicích příkazů malware přistupoval ke 4 doménám prostřednictvím síťového portu 443 (komunikační kanál používal vlastní protokol, nikoli HTTPS a TLS).

Domény (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com a news.thaprior.net) byly zaregistrovány v roce 2015 a hostovány kyjevským poskytovatelem hostingu Deltahost. Do zadních dveří bylo integrováno 12 základních funkcí, které vám umožňují načítat a spouštět doplňky s pokročilými funkcemi, přenášet data zařízení, zachycovat důvěrná data a spravovat místní soubory.

Z pohledu reverzního inženýrství sdílejí RotaJakiro a Torii podobné styly: použití šifrovacích algoritmů ke skrytí citlivých zdrojů, implementace poněkud staromódního stylu vytrvalosti, strukturovaný síťový provoz atd.

Konečně pokud máte zájem dozvědět se více o výzkumu od 360 Netlab, můžete zkontrolovat podrobnosti přechodem na následující odkaz.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

      dezinformace řekl

    Nevysvětlete, jak je vyloučeno, nebo jak zjistit, zda jsme nakaženi nebo ne, což je zdraví škodlivé.

      Merlin The Magician řekl

    Zajímavý článek a zajímavá analýza v odkazu, který jej doprovází, ale chybí mi slovo o vektoru infekce. Je to trojský kůň, červ nebo jen virus?… Na co bychom si měli dávat pozor, abychom se vyhnuli naší infekci?

      luix řekl

    A jaký je rozdíl?
    Systém sám o sobě je malware.