Un échantillon de logiciels malveillants Linux circule sur le Web depuis au moins trois ans sans être détecté. La découverte vient de la société de sécurité Qihoo 360 NETLAB.
"En mars 25, 2021, 360 Le système BotMon de NETLAB a signalé un fichier ELF suspect avec 0 Vermont [VirusTotal] détection, l'échantillon communique avec 4 domaines sur TCP 443 (HTTPS), mais le trafic n'est pas de TLS / SSL," le rapport révèle. Une inspection détaillée de l'échantillon a montré qu'il appartenait à une porte dérobée ciblant spécifiquement les systèmes Linux X64 qui existe depuis au moins trois ans.. Les chercheurs ont nommé le malware RotaJakiro en se basant sur le fait que la famille utilise le cryptage par rotation, et lors de l'exécution se comporte différemment pour les comptes root / non root.
Logiciel malveillant RotaJakiro: Présentation technique
La Linux le malware a été développé avec la capacité de cacher ses traces via plusieurs algorithmes de cryptage. Il utilise l'algorithme AES pour crypter les informations sur les ressources dans l'échantillon. La communication C2 est cryptée à l'aide d'une combinaison d'AES, XOR, Chiffrement ROTATE et compression ZLIB.
Selon les recherches, le logiciel malveillant RotaJakiro prend en charge 12 fonctions spécifiques, dont trois sont liés à l'exécution de plugins particuliers.
Malheureusement, les chercheurs n'ont aucune visibilité ni accès aux plugins, et donc ils ne connaissent pas son "vrai but". Utiliser une perspective plus large de l'activité de la porte dérobée, le malware doit être capable des activités malveillantes suivantes:
- Signaler des informations sur l'appareil
- Voler des informations sensibles
- Gestion des fichiers / plugins (question, télécharger, effacer)
- Exécution d'un plugin spécifique
Comment fonctionne le malware RotaJakiro Linux?
Selon le rapport, le malware détermine d'abord si l'utilisateur est root ou non root au moment de l'exécution, avec différentes politiques d'exécution pour différents comptes. Ses prochaines étapes incluent le décryptage des ressources sensibles pertinentes à l'aide d'AES& ROTATION pour la persistance ultérieure, traitement de la protection et de l'utilisation d'instance unique, et établir la communication avec C2. Une fois ces étapes exécutées, le malware attend l'exécution des commandes émises par le serveur de commande et de contrôle.
L'ingénierie inverse de RotaJakiro montre qu'il partage des styles similaires avec le malware Torii, comme l'utilisation du chiffrement pour dissimuler des ressources sensibles et la mise en œuvre d'un «style de persistance plutôt old-school».
En savoir plus sur le malware Torii
La botnet torii est a été identifié dans 2018. L'une de ses caractéristiques était l'intrusion furtive et persistante, effectué via des sessions Telnet de sonde en utilisant des informations d'identification faibles. Les pirates les ont probablement forcés brutalement ou ont utilisé des listes de combinaisons de noms d'utilisateur et de mots de passe par défaut.
Par rapport aux autres botnets, l'une des premières actions effectuées par Torii a été la détection de l'architecture afin de classer l'hôte infecté dans l'une des catégories définies. Le fait intéressant est que le botnet semblait prendre en charge une grande variété de plates-formes populaires: x86_64, x86, BRAS, MIPS, Motorola 68k, SuperH et PPC.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: