Ein Beispiel für Linux-Malware kreist seit mindestens drei Jahren im Web, ohne entdeckt zu werden. Die Entdeckung stammt von der Sicherheitsfirma Qihoo 360 NETLAB.
"Im März 25, 2021, 360 Das BotMon-System von NETLAB hat eine verdächtigeELF-Datei mit gekennzeichnet 0 VT [Virustotal] Entdeckung, Die Probe kommuniziert mit 4 Domänen auf TCP 443 (HTTPS), Der Datenverkehr erfolgt jedoch nicht über TLS / SSL," der Bericht enthüllt. Eine detaillierte Untersuchung des Beispiels ergab, dass es sich um eine Hintertür handelt, die speziell auf Linux X64-Systeme ausgerichtet ist und seit mindestens drei Jahren besteht. Die Forscher nannten die Malware RotaJakiro aufgrund der Tatsache, dass die Familie Rotationsverschlüsselung verwendet, und verhält sich bei der Ausführung für Root- / Nicht-Root-Konten unterschiedlich.
RotaJakiro Malware: technischer Überblick
Die Linux Malware wurde mit der Fähigkeit entwickelt, ihre Spuren über mehrere Verschlüsselungsalgorithmen zu verbergen. Es verwendet den AES-Algorithmus, um die Ressourceninformationen innerhalb des Beispiels zu verschlüsseln. Die C2-Kommunikation wird mit einer Kombination von AES verschlüsselt, XOR, ROTATE-Verschlüsselung und ZLIB-Komprimierung.
Nach den Forschungen, Die RotaJakiro-Malware unterstützt 12 spezifische Funktionen, Drei davon beziehen sich auf die Ausführung bestimmter Plugins.
Leider, Die Forscher haben keine Sichtbarkeit oder keinen Zugriff auf die Plugins, und deshalb kennen sie ihren "wahren Zweck" nicht. Verwendung einer breiteren Perspektive der Backdoor-Aktivität, Die Malware sollte die folgenden schädlichen Aktivitäten ausführen können:
- Geräteinformationen melden
- Sensible Informationen stehlen
- Datei- / Plugin-Verwaltung (Abfrage, Download, löschen)
- Ausführung eines bestimmten Plugins
Wie funktioniert die RotaJakiro Linux-Malware??
Nach dem Bericht, Die Malware bestimmt zunächst, ob der Benutzer zur Laufzeit root oder nicht root ist, mit unterschiedlichen Ausführungsrichtlinien für unterschiedliche Konten. Die nächsten Schritte umfassen die Entschlüsselung der relevanten sensiblen Ressourcen mithilfe von AES& DREHEN für nachfolgende Persistenz, Verarbeitungsschutz und Verwendung einzelner Instanzen, und Herstellen einer Kommunikation mit C2. Sobald diese Schritte ausgeführt sind, Die Malware wartet auf die Ausführung von Befehlen, die vom Command-and-Control-Server ausgegeben werden.
Das Reverse Engineering von RotaJakiro zeigt, dass es ähnliche Stile wie die Torii-Malware aufweist, wie die Verwendung von Verschlüsselung, um sensible Ressourcen zu verbergen, und die Implementierung eines „eher altmodischen Persistenzstils“.
Mehr über die Torii-Malware
Die Torii Botnet wurde identifiziert in 2018. Eines seiner Merkmale war die Heimlichkeit und das anhaltende Eindringen, Dies erfolgt über Test-Telnet-Sitzungen unter Verwendung schwacher Anmeldeinformationen. Die Hacker haben sie höchstwahrscheinlich brutal gezwungen oder Listen mit Standardkombinationen aus Benutzername und Passwort verwendet.
Im Vergleich zu anderen Botnetzen, Eine der ersten von Torii durchgeführten Aktionen war die Erkennung der Architektur, um den infizierten Host in eine der festgelegten Kategorien einzuteilen. Die interessante Tatsache ist, dass das Botnetz eine Vielzahl beliebter Plattformen zu unterstützen schien: x86_64, x86, ARM, MIPS, Motorola 68k, SuperH und PPC.