Un campione di malware Linux circola sul Web da almeno tre anni senza essere rilevato. La scoperta proviene dalla società di sicurezza Qihoo 360 NETLAB.
"A marzo 25, 2021, 360 Il sistema BotMon di NETLAB ha contrassegnato un file ELF sospetto con 0 VT [VirusTotal] rivelazione, il campione comunica con 4 domini su TCP 443 (HTTPS), ma il traffico non è di TLS / SSL," il rapporto rivela. Un'ispezione dettagliata del campione ha mostrato che apparteneva a una backdoor mirata specificamente ai sistemi Linux X64 che esiste da almeno tre anni. I ricercatori hanno chiamato il malware RotaJakiro in base al fatto che la famiglia utilizza la crittografia a rotazione, e durante l'esecuzione si comporta in modo diverso per gli account root / non root.
RotaJakiro Malware: Panoramica tecnica
Il Linux il malware è stato sviluppato con la capacità di nascondere le sue tracce tramite più algoritmi di crittografia. Utilizza l'algoritmo AES per crittografare le informazioni sulle risorse all'interno del campione. La comunicazione C2 è crittografata utilizzando una combinazione di AES, XOR, Crittografia RUOTA e compressione ZLIB.
Secondo la ricerca, il malware RotaJakiro supporta 12 funzioni specifiche, tre dei quali sono legati all'esecuzione di particolari plugin.
Sfortunatamente, i ricercatori non hanno visibilità o accesso ai plugin, e quindi non conoscono il suo "vero scopo". Utilizzando una prospettiva più ampia dell'attività backdoor, il malware dovrebbe essere in grado di svolgere le seguenti attività dannose:
- Segnalazione delle informazioni sul dispositivo
- Rubare informazioni sensibili
- Gestione di file / plugin (domanda, scaricare, cancellare)
- Esecuzione di plugin specifici
Come funziona il malware RotaJakiro Linux?
Secondo il rapporto, il malware determina innanzitutto se l'utente è root o non root in fase di esecuzione, con differenti politiche di esecuzione per differenti account. I passaggi successivi includono la decrittografia delle risorse sensibili pertinenti utilizzando AES& RUOTA per la persistenza successiva, protezione dell'elaborazione e utilizzo di singole istanze, e stabilire una comunicazione con C2. Una volta eseguiti questi passaggi, il malware attende l'esecuzione dei comandi emessi dal server di comando e controllo.
Il reverse engineering di RotaJakiro mostra che condivide stili simili con il malware Torii, come l'utilizzo della crittografia per nascondere risorse sensibili e l'implementazione di "uno stile di persistenza piuttosto vecchia scuola".
Maggiori informazioni sul malware Torii
Il torii botnet è stato identificato in 2018. Una delle sue caratteristiche era la furtività e l'intrusione persistente, fatto tramite sessioni di sonda Telnet utilizzando credenziali deboli. Gli hacker molto probabilmente li hanno forzati brutalmente o hanno utilizzato elenchi di combinazioni di nome utente e password predefinite.
Rispetto ad altre botnet, una delle prime azioni eseguite da Torii è stata il rilevamento dell'architettura per classificare l'host infetto in una delle categorie impostate. Il fatto interessante è che la botnet sembrava supportare un'ampia varietà di piattaforme popolari: x86_64, x86, BRACCIO, MIPS, Motorola 68k, SuperH e PPC.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: