Casa > Cyber ​​Notizie > Il malware RotaJakiro precedentemente non rilevato prende di mira i sistemi Linux X64
CYBER NEWS

Il malware RotaJakiro precedentemente non rilevato prende di mira i sistemi Linux X64

Il malware RotaJakiro prende di mira i sistemi linux x64-sensorstechforum
Un campione di malware Linux circola sul Web da almeno tre anni senza essere rilevato. La scoperta proviene dalla società di sicurezza Qihoo 360 NETLAB.

"A marzo 25, 2021, 360 Il sistema BotMon di NETLAB ha contrassegnato un file ELF sospetto con 0 VT [VirusTotal] rivelazione, il campione comunica con 4 domini su TCP 443 (HTTPS), ma il traffico non è di TLS / SSL," il rapporto rivela. Un'ispezione dettagliata del campione ha mostrato che apparteneva a una backdoor mirata specificamente ai sistemi Linux X64 che esiste da almeno tre anni. I ricercatori hanno chiamato il malware RotaJakiro in base al fatto che la famiglia utilizza la crittografia a rotazione, e durante l'esecuzione si comporta in modo diverso per gli account root / non root.

RotaJakiro Malware: Panoramica tecnica

Il Linux il malware è stato sviluppato con la capacità di nascondere le sue tracce tramite più algoritmi di crittografia. Utilizza l'algoritmo AES per crittografare le informazioni sulle risorse all'interno del campione. La comunicazione C2 è crittografata utilizzando una combinazione di AES, XOR, Crittografia RUOTA e compressione ZLIB.

Secondo la ricerca, il malware RotaJakiro supporta 12 funzioni specifiche, tre dei quali sono legati all'esecuzione di particolari plugin.

Sfortunatamente, i ricercatori non hanno visibilità o accesso ai plugin, e quindi non conoscono il suo "vero scopo". Utilizzando una prospettiva più ampia dell'attività backdoor, il malware dovrebbe essere in grado di svolgere le seguenti attività dannose:

  • Segnalazione delle informazioni sul dispositivo
  • Rubare informazioni sensibili
  • Gestione di file / plugin (domanda, scaricare, cancellare)
  • Esecuzione di plugin specifici

Come funziona il malware RotaJakiro Linux?

Secondo il rapporto, il malware determina innanzitutto se l'utente è root o non root in fase di esecuzione, con differenti politiche di esecuzione per differenti account. I passaggi successivi includono la decrittografia delle risorse sensibili pertinenti utilizzando AES& RUOTA per la persistenza successiva, protezione dell'elaborazione e utilizzo di singole istanze, e stabilire una comunicazione con C2. Una volta eseguiti questi passaggi, il malware attende l'esecuzione dei comandi emessi dal server di comando e controllo.

Il reverse engineering di RotaJakiro mostra che condivide stili simili con il malware Torii, come l'utilizzo della crittografia per nascondere risorse sensibili e l'implementazione di "uno stile di persistenza piuttosto vecchia scuola".

Maggiori informazioni sul malware Torii

Il torii botnet è stato identificato in 2018. Una delle sue caratteristiche era la furtività e l'intrusione persistente, fatto tramite sessioni di sonda Telnet utilizzando credenziali deboli. Gli hacker molto probabilmente li hanno forzati brutalmente o hanno utilizzato elenchi di combinazioni di nome utente e password predefinite.

Rispetto ad altre botnet, una delle prime azioni eseguite da Torii è stata il rilevamento dell'architettura per classificare l'host infetto in una delle categorie impostate. Il fatto interessante è che la botnet sembrava supportare un'ampia varietà di piattaforme popolari: x86_64, x86, BRACCIO, MIPS, Motorola 68k, SuperH e PPC.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...