RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
30-Апр-2021 13:30

Исследовательская лаборатория 360 Netlab сообщила о выявлении нового вредоносного ПО для Linux, получившего кодовое имя RotaJakiro и включающего реализацию бэкдора, позволяющего управлять системой. Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей.
Бэкдор был обнаружен в ходе анализа подозрительного трафика от одного из системных процессов, выявленного при разборе структуры ботнета, используемого для DDoS-атаки. До этого RotaJakiro оставался незамеченным на протяжении трёх лет, в частности, первые попытки проверки в сервисе VirusTotal файлов с MD5-хэшами, совпадающими с выявленным вредоносным ПО, датированы маем 2018 года.
Из особенностей RotaJakiro называется использование разных техник маскировки при запуске с правами непривилегированного пользователя и root. Для скрытия своего присутствия бэкдор использовал имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, с учётом нагромождения современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались легитимными и не вызывали подозрений.
При запуске с правами root для активации вредоносного ПО создавались скрипты /etc/init/systemd-agent.conf и /lib/systemd/system/sys-temd-agent.service, а сам вредоносный исполняемый файл размещался как /bin/systemd/systemd-daemon и /usr/lib/systemd/systemd-daemon (функциональность дублировалась в двух файлах).
При выполнении с правами обычного пользователя использовался файл автозапуска $HOME/.config/au-tostart/gnomehelper.desktop и вносились изменения в .bashrc, а исполняемый файл сохранялся как $HOME/.gvfsd/.profile/gvfsd-helper и $HOME/.dbus/sessions/session-dbus. Одновременно запускались оба исполняемых файла, каждый из которых следил за наличием другого и восстанавливал его в случае завершения работы.
Для скрытия результатов своей деятельности в бэкдоре применялось несколько алгоритмов шифрования, например, для шифрования своих ресурсов использовался AES, а для скрытия канала связи с управляющим сервером связка из AES, XOR и ROTATE в сочетании со сжатием при помощи ZLIB.
Для получения управляющих команд вредоносное ПО обращалось к 4 доменам через сетевой порт 443 (в канале связи использовался свой протокол, а не HTTPS и TLS). Домены (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) были зарегистрированы в 2015 году и размещены у киевского хостинг-провайдера Deltahost. В бэкдор были интегрированы 12 базовых функций, которые позволяли загружать и выполнять плагины с расширенной функциональностью, передавать данные об устройстве, перехватывать конфиденциальные данные и управлять локальными файлами.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_backdoor, #_malware
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 24-Ноя 20:26
Часовой пояс: UTC + 5