Linuxマルウェアのサンプルは、検出されずに少なくとも3年間Webを巡回しています。. 発見は警備会社Qihooから来ています 360 NETLAB.
"行進に 25, 2021, 360 NETLABのBotMonシステムは、疑わしいELFファイルに次のフラグを付けました 0 VT [VirusTotal] 検出, サンプルはと通信します 4 TCP上のドメイン 443 (HTTPS), ただし、トラフィックはTLS/SSLではありません,」 レポート 明らかに. サンプルを詳細に調べたところ、サンプルは、少なくとも3年前から存在しているLinuxX64システムを特に対象としたバックドアに属していることがわかりました。. 研究者は、家族がローテーション暗号化を使用しているという事実に基づいて、マルウェアをRotaJakiroと名付けました, 実行時のルート/非ルートアカウントの動作は異なります.
RotaJakiroマルウェア: 技術概要
The Linux マルウェアは、複数の暗号化アルゴリズムを介してその痕跡を隠す機能を備えて開発されました. AESアルゴリズムを使用して、サンプル内のリソース情報を暗号化します. C2通信は、AESの組み合わせを使用して暗号化されます, XOR, ROTATE暗号化とZLIB圧縮.
調査によると, RotaJakiroマルウェアはサポートします 12 特定の機能, そのうちの3つは特定のプラグインの実行に関連しています.
不運にも, 研究者はプラグインの可視性やアクセス権を持っていません, したがって、彼らはその「真の目的」を知りません. バックドアアクティビティのより広い視点を使用する, マルウェアは、次の悪意のあるアクティビティに対応できる必要があります:
- デバイス情報の報告
- 機密情報を盗む
- ファイル/プラグインの管理 (クエリ, ダウンロード, 消去)
- 特定のプラグインの実行
RotaJakiroLinuxマルウェアはどのように動作しますか?
レポートによると, マルウェアは最初に、実行時にユーザーがルートか非ルートかを判断します, アカウントごとに実行ポリシーが異なる. 次のステップには、AESを使用した関連する機密リソースの復号化が含まれます& その後の永続性のために回転します, 保護と単一インスタンスの使用の処理, C2との通信を確立します. これらのステップが実行されると, マルウェアは、コマンドアンドコントロールサーバーによって発行されたコマンドの実行を待機します.
RotaJakiroのリバースエンジニアリングは、鳥居マルウェアと同様のスタイルを共有していることを示しています, 機密性の高いリソースを隠すための暗号化の利用や、「かなり古いスタイルの永続性」の実装など。
鳥居マルウェアの詳細
The 鳥居ボットネット で識別されました 2018. その特徴の1つは、ステルスと持続的な侵入でした, 弱いクレデンシャルを利用してプローブTelnetセッションを介して実行. ハッカーはおそらくブルートフォース攻撃を行ったか、デフォルトのユーザー名とパスワードの組み合わせのリストを使用していました.
他のボットネットとの比較, 鳥居が最初に行った行動の1つは、感染したホストを設定されたカテゴリの1つに分類するためのアーキテクチャの検出でした。. 興味深い事実は、ボットネットが多種多様な人気のあるプラットフォームをサポートしているように見えたことです: x86_64, x86, 腕, MIPS, モトローラ68k, SuperHとPPC.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: