Una muestra de malware de Linux ha estado dando vueltas en la web durante al menos tres años sin ser detectada. El descubrimiento proviene de la empresa de seguridad Qihoo. 360 NETLAB.
"En marzo 25, 2021, 360 El sistema BotMon de NETLAB marcó un archivo ELF sospechoso con 0 Vermont [VirusTotal] detección, la muestra se comunica con 4 dominios en TCP 443 (HTTPS), pero el tráfico no es de TLS / SSL," el informe revela. Una inspección detallada de la muestra mostró que pertenecía a una puerta trasera dirigida específicamente a sistemas Linux X64 que ha existido durante al menos tres años.. Los investigadores nombraron al malware RotaJakiro basándose en el hecho de que la familia usa cifrado rotativo, y en la ejecución se comporta de manera diferente para cuentas root / no root.
RotaJakiro Malware: Resumen técnico
El Linux El malware se ha desarrollado con la capacidad de ocultar sus rastros a través de múltiples algoritmos de cifrado.. Utiliza el algoritmo AES para cifrar la información del recurso dentro de la muestra.. La comunicación C2 se cifra mediante una combinación de AES, XOR, ROTAR cifrado y compresión ZLIB.
Según la investigación, el malware RotaJakiro admite 12 funciones especificas, tres de los cuales están relacionados con la ejecución de complementos particulares.
Desafortunadamente, los investigadores no tienen visibilidad ni acceso a los complementos, y por lo tanto no conocen su "verdadero propósito". Usar una perspectiva más amplia de la actividad de puerta trasera, el malware debe ser capaz de realizar las siguientes actividades maliciosas:
- Informar la información del dispositivo
- Robar información sensible
- Gestión de archivos / complementos (consulta, descargar, borrar)
- Ejecución de un complemento específico
¿Cómo funciona el malware RotaJakiro Linux??
De acuerdo con el informe, el malware primero determina si el usuario es root o no root en tiempo de ejecución, con diferentes políticas de ejecución para diferentes cuentas. Sus próximos pasos incluyen el descifrado de los recursos sensibles relevantes usando AES& GIRAR para persistencia posterior, protección de procesamiento y uso de instancia única, y establecer comunicación con C2. Una vez que se ejecutan estos pasos, el malware espera la ejecución de los comandos emitidos por el servidor de comando y control.
La ingeniería inversa de RotaJakiro muestra que comparte estilos similares con el malware Torii, como la utilización de cifrado para ocultar recursos confidenciales y la implementación de "un estilo de persistencia bastante anticuado".
Más sobre el malware Torii
El botnet Torii se identificó en 2018. Una de sus características era el sigilo y la persistente intrusión., hecho a través de sesiones de prueba Telnet haciendo uso de credenciales débiles. Lo más probable es que los piratas informáticos los hayan forzado brutalmente o hayan utilizado listas de combinaciones predeterminadas de nombre de usuario y contraseña.
En comparación con otras botnets, Una de las primeras acciones realizadas por Torii fue la detección de arquitectura para categorizar el host infectado en una de las categorías establecidas.. El hecho interesante es que la botnet parecía admitir una amplia variedad de plataformas populares.: x86_64, x86, BRAZO, MIPS, Motorola 68k, SuperH y PPC.