RotaJakiro — новое вредоносное ПО для Linux, маскирующееся под процесс systemd

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

30 апреля 2021 года

<dynamicpagelist>

category = Опубликовано category = Компьютерные технологии notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

Исследовательская лаборатория 360 Netlab сообщила о выявлении нового вредоносного ПО для Linux, получившего кодовое имя RotaJakiro и включающего реализацию бэкдора, позволяющего управлять системой. Вредоносное ПО могло быть установлено атакующими после эксплуатации неисправленных уязвимостей в системе или подбора ненадёжных паролей.

Бэкдор был обнаружен в ходе анализа подозрительного трафика от одного из системных процессов, выявленного при разборе структуры ботнета, используемого для DDoS-атаки. До этого RotaJakiro оставался незамеченным на протяжении трёх лет, в частности, первые попытки проверки в сервисе VirusTotal файлов с MD5-хэшами, совпадающими с выявленным вредоносным ПО, датированы маем 2018 года.

Из особенностей RotaJakiro называется использование разных техник маскировки при запуске с правами непривилегированного пользователя и root. Для скрытия своего присутствия бэкдор использовал имена процессов systemd-daemon, session-dbus и gvfsd-helper, которые, с учётом нагромождения современных дистрибутивов Linux всевозможными служебными процессами, на первый взгляд казались легитимными и не вызывали подозрений.

При запуске с правами root для активации вредоносного ПО создавались скрипты /etc/init/systemd-agent.conf и /lib/systemd/system/sys-temd-agent.service, а сам вредоносный исполняемый файл размещался как /bin/systemd/systemd-daemon и /usr/lib/systemd/systemd-daemon (функциональность дублировалась в двух файлах). При выполнении с правами обычного пользователя использовался файл автозапуска $HOME/.config/au-tostart/gnomehelper.desktop и вносились изменения в .bashrc, а исполняемый файл сохранялся как $HOME/.gvfsd/.profile/gvfsd-helper и $HOME/.dbus/sessions/session-dbus. Одновременно запускались оба исполняемых файла, каждый из которых следил за наличием другого и восстанавливал его в случае завершения работы.

Для скрытия результатов своей деятельности в бэкдоре применялось несколько алгоритмов шифрования, например, для шифрования своих ресурсов использовался AES, а для скрытия канала связи с управляющим сервером связка из AES, XOR и ROTATE в сочетании со сжатием при помощи ZLIB.

Для получения управляющих команд вредоносное ПО обращалось к 4 доменам через сетевой порт 443 (в канале связи использовался свой протокол, а не HTTPS и TLS). Домены (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com и news.thaprior.net) были зарегистрированы в 2015 году и размещены у киевского хостинг-провайдера Deltahost. В бэкдор были интегрированы 12 базовых функций, которые позволяли загружать и выполнять плагины с расширенной функциональностью, передавать данные об устройстве, перехватывать конфиденциальные данные и управлять локальными файлами.

 

Источники[править]


OpenNET logo.png
Creative Commons
Эта статья содержит материалы из статьи «RotaJakiro — новое вредоносное ПО для Linux, маскирующееся под процесс systemd», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:RotaJakiro — новое вредоносное ПО для Linux, маскирующееся под процесс systemd