En prøve af Linux-malware har cirkuleret på nettet i mindst tre år uden at blive opdaget. Opdagelsen kommer fra sikkerhedsfirmaet Qihoo 360 NETLAB.
”I marts 25, 2021, 360 NETLABs BotMon-system markerede en mistænkelig ELF-fil med 0 VT [VirusTotal] opdagelse, prøven kommunikerer med 4 domæner på TCP 443 (HTTPS), men trafikken er ikke af TLS / SSL," rapporten afslører. En detaljeret inspektion af prøven viste, at den tilhørte en bagdør, der specifikt målrettede mod Linux X64-systemer, der har eksisteret i mindst tre år. Forskerne navngav malware RotaJakiro baseret på det faktum, at familien bruger roterende kryptering, og ved udførelse opfører sig forskelligt for root / ikke-root-konti.
RotaJakiro Malware: Teknisk oversigt
Den Linux malware er udviklet med evnen til at skjule sine spor via flere krypteringsalgoritmer. Det bruger AES-algoritmen til at kryptere ressourceoplysningerne i prøven. C2-kommunikationen krypteres ved hjælp af en kombination af AES, XOR, ROTER kryptering og ZLIB-komprimering.
Ifølge forskning, RotaJakiro-malware understøtter 12 specifikke funktioner, hvoraf tre er relateret til udførelsen af bestemte plugins.
Desværre, forskerne har ingen synlighed eller adgang til plugins, og derfor kender de ikke dets "sande formål". Brug af et bredere perspektiv af bagdøraktivitet, malware skal være i stand til følgende ondsindede aktiviteter:
- Rapportering af enhedsoplysninger
- At stjæle følsomme oplysninger
- Fil- / plugin-styring (forespørgsel, Download, slet)
- Udførelse af specifikt plugin
Hvordan fungerer RotaJakiro Linux-malware?
Ifølge rapporten, malware bestemmer først, om brugeren er root eller ikke-root på kørselstidspunktet, med forskellige udførelsespolitikker for forskellige konti. Dens næste trin inkluderer dekryptering af de relevante følsomme ressourcer ved hjælp af AES& ROTER for efterfølgende vedholdenhed, behandling af beskyttelse og brug af en enkelt instans, og etablering af kommunikation med C2. Når disse trin er udført, malware venter på udførelse af kommandoer udstedt af kommando-og-kontrol-serveren.
RotaJakiros reverse engineering viser, at den deler lignende stilarter med Torii-malware, som f.eks. brugen af kryptering til at skjule følsomme ressourcer og implementeringen af "en temmelig old-school stil med vedholdenhed."
Mere om Torii-malware
Den Torii botnet blev identificeret i 2018. En af dens egenskaber var snigende og vedvarende indtrængen, udført via probe Telnet-sessioner ved hjælp af svage legitimationsoplysninger. Hackerne tvang dem sandsynligvis brutalt eller brugte lister over standardkombinationer med brugernavn og adgangskode.
I sammenligning med andre botnet, en af de første handlinger, der blev udført af Torii, var påvisning af arkitektur for at kategorisere den inficerede vært i en af de indstillede kategorier. Det interessante er, at botnet syntes at understøtte en lang række populære platforme: x86_64, x86, ARM, MIPS, Motorola 68k, SuperH og PPC.