RotaJakiro - новое вредоносное ПО для Linux, маскирующееся под процесс systemd
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Исследовательская лаборатория 360 Netlab сообщила о выявлении нового вредоносного ПО для Linux, получившего кодовое имя RotaJakiro и включающего реализацию бэкдора, позволяющего управлять системой. Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей.
Бэкдор был обнаружен в ходе анализа подозрительного трафика от одного из системных процессов, выявленного при разборе структуры ботнета, используемого для DDoS-атаки. До этого RotaJakiro оставался незамеченным на протяжении трёх лет, в частности, первые попытки проверки в сервисе VirusTotal файлов с MD5-хэшами, совпадающими с выявленным вредоносным ПО, датированы маем 2018 года.
Из особенностей RotaJakiro называется использование разных техник маскировки при запуске с правами непривилегированного пользователя и root. Для скрытия своего присутствия бэкдор использовал имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, с учётом нагромождения современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались легитимными и не вызывали подозрений.
При запуске с правами root для активации вредоносного ПО создавались скрипты /etc/init/systemd-agent.conf и /lib/systemd/system/sys-temd-agent.service, а сам вредоносный исполняемый файл размещался как /bin/systemd/systemd-daemon и /usr/lib/systemd/systemd-daemon (функциональность дублировалась в двух файлах).
При выполнении с правами обычного пользователя использовался файл автозапуска $HOME/.config/au-tostart/gnomehelper.desktop и вносились изменения в .bashrc, а исполняемый файл сохранялся как $HOME/.gvfsd/.profile/gvfsd-helper и $HOME/.dbus/sessions/session-dbus. Одновременно запускались оба исполняемых файла, каждый из которых следил за наличием другого и восстанавливал его в случае завершения работы.
Для скрытия результатов своей деятельности в бэкдоре применялось несколько алгоритмов шифрования, например, для шифрования своих ресурсов использовался AES, а для скрытия канала связи с управляющим сервером связка из AES, XOR и ROTATE в сочетании со сжатием при помощи ZLIB.
Для получения управляющих команд вредоносное ПО обращалось к 4 доменам через сетевой порт 443 (в канале связи использовался свой протокол, а не HTTPS и TLS). Домены (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) были зарегистрированы в 2015 году и размещены у киевского хостинг-провайдера Deltahost. В бэкдор были интегрированы 12 базовых функций, которые позволяли загружать и выполнять плагины с расширенной функциональностью, передавать данные об устройстве, перехватывать конфиденциальные данные и управлять локальными файлами.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.netlab.360.com/st...)
- OpenNews: Вредоносное ПО, поражающее NetBeans для внедрения бэкдоров в собираемые проекты
- OpenNews: Результаты анализа бэкдоров в приложениях для Android
- OpenNews: В Webmin найден бэкдор, позволяющий удалённо получить доступ с правами root
- OpenNews: Новые сведения о вредоносном ПО VPNFilter, поражающем домашние маршрутизаторы
- OpenNews: Выявлен комплекс вредоносного ПО "Дроворуб" для ОС Linux
Похожие новости:
- Внедрение вредоносного кода в скрипт Codecov привело к компрометации PGP-ключа HashiCorp
- Отчёт о компрометации git-репозитория и базы пользователей проекта PHP
- [Информационная безопасность, PHP] Пресечена попытка встроить бэкдор в репозиторий PHP
- [Информационная безопасность, Реверс-инжиниринг, Исследования и прогнозы в IT, IT-компании] Kremlin RATs: история одной мистификации
- [Информационная безопасность, Разработка веб-сайтов, PHP, Антивирусная защита] Невидимые символы, скрывающие веб-шелл в зловредном коде на PHP (перевод)
- В обновлении Android-приложения с 10 млн установок выявлен вредоносный код
- [Информационная безопасность, Софт, IT-компании] Malwarebytes заявила о взломе хакерами, которые атаковали SolarWinds
- Бэкдор в маршрутизаторах FiberHome
- Бэкдор в межсетевых экранах и точках доступа Zyxel
- [Настройка Linux, Информационная безопасность] Как снова доверять операционной системе. Поиск следов компрометации. Анализ ВПО
Теги для поиска: #_backdoor, #_malware
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 01-Май 00:10
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Исследовательская лаборатория 360 Netlab сообщила о выявлении нового вредоносного ПО для Linux, получившего кодовое имя RotaJakiro и включающего реализацию бэкдора, позволяющего управлять системой. Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей. Бэкдор был обнаружен в ходе анализа подозрительного трафика от одного из системных процессов, выявленного при разборе структуры ботнета, используемого для DDoS-атаки. До этого RotaJakiro оставался незамеченным на протяжении трёх лет, в частности, первые попытки проверки в сервисе VirusTotal файлов с MD5-хэшами, совпадающими с выявленным вредоносным ПО, датированы маем 2018 года. Из особенностей RotaJakiro называется использование разных техник маскировки при запуске с правами непривилегированного пользователя и root. Для скрытия своего присутствия бэкдор использовал имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, с учётом нагромождения современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались легитимными и не вызывали подозрений. При запуске с правами root для активации вредоносного ПО создавались скрипты /etc/init/systemd-agent.conf и /lib/systemd/system/sys-temd-agent.service, а сам вредоносный исполняемый файл размещался как /bin/systemd/systemd-daemon и /usr/lib/systemd/systemd-daemon (функциональность дублировалась в двух файлах). При выполнении с правами обычного пользователя использовался файл автозапуска $HOME/.config/au-tostart/gnomehelper.desktop и вносились изменения в .bashrc, а исполняемый файл сохранялся как $HOME/.gvfsd/.profile/gvfsd-helper и $HOME/.dbus/sessions/session-dbus. Одновременно запускались оба исполняемых файла, каждый из которых следил за наличием другого и восстанавливал его в случае завершения работы. Для скрытия результатов своей деятельности в бэкдоре применялось несколько алгоритмов шифрования, например, для шифрования своих ресурсов использовался AES, а для скрытия канала связи с управляющим сервером связка из AES, XOR и ROTATE в сочетании со сжатием при помощи ZLIB. Для получения управляющих команд вредоносное ПО обращалось к 4 доменам через сетевой порт 443 (в канале связи использовался свой протокол, а не HTTPS и TLS). Домены (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) были зарегистрированы в 2015 году и размещены у киевского хостинг-провайдера Deltahost. В бэкдор были интегрированы 12 базовых функций, которые позволяли загружать и выполнять плагины с расширенной функциональностью, передавать данные об устройстве, перехватывать конфиденциальные данные и управлять локальными файлами. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 01-Май 00:10
Часовой пояс: UTC + 5