Een steekproef van Linux-malware cirkelt al minstens drie jaar op internet zonder te worden gedetecteerd. De ontdekking komt van beveiligingsbedrijf Qihoo 360 NETLAB.
'In maart 25, 2021, 360 Het BotMon-systeem van NETLAB markeerde een verdacht ELF-bestand met 0 VT [VirusTotal] opsporing, de steekproef communiceert met 4 domeinen op TCP 443 (HTTPS), maar het verkeer is niet van TLS / SSL," het verslag onthult. Een gedetailleerde inspectie van het monster toonde aan dat het behoorde tot een achterdeur die specifiek gericht was op Linux X64-systemen die al minstens drie jaar bestaan. De onderzoekers noemden de malware RotaJakiro op basis van het feit dat de familie roterende versleuteling gebruikt, en gedraagt zich bij uitvoering anders voor root / niet-rootaccounts.
RotaJakiro Malware: technisch overzicht
Het Linux malware is ontwikkeld met de mogelijkheid om zijn sporen te verbergen via meerdere coderingsalgoritmen. Het gebruikt het AES-algoritme om de broninformatie in het monster te versleutelen. De C2-communicatie is versleuteld met een combinatie van AES, XOR, ROTATE-codering en ZLIB-compressie.
Volgens het onderzoek, de RotaJakiro-malware ondersteunt 12 specifieke functies, waarvan er drie verband houden met de uitvoering van bepaalde plug-ins.
Helaas, de onderzoekers hebben geen zicht op of toegang tot de plug-ins, en daarom weten ze niet wat het "ware doel" is. Een breder perspectief van achterdeuractiviteiten gebruiken, de malware zou in staat moeten zijn tot de volgende kwaadaardige activiteiten:
- Apparaatinformatie rapporteren
- Gevoelige informatie stelen
- Beheer van bestanden / plug-ins (vraag, te downloaden, verwijderen)
- Uitvoering van een specifieke plug-in
Hoe werkt de RotaJakiro Linux-malware??
Volgens het rapport, de malware bepaalt tijdens runtime eerst of de gebruiker root of niet-root is, met verschillende uitvoeringsbeleidsregels voor verschillende accounts. De volgende stappen omvatten het ontsleutelen van de relevante gevoelige bronnen met behulp van AES& DRAAI voor latere persistentie, bewaking van verwerking en gebruik in één instantie, en tot stand brengen van communicatie met C2. Zodra deze stappen zijn uitgevoerd, de malware wacht op de uitvoering van opdrachten die zijn uitgegeven door de command-and-control-server.
RotaJakiro's reverse engineering laat zien dat het vergelijkbare stijlen deelt met de Torii-malware, zoals het gebruik van encryptie om gevoelige bronnen te verbergen en de implementatie van 'een nogal ouderwetse stijl van persistentie'.
Meer over de Torii-malware
Het Torii botnet het is geïdentificeerd in 2018. Een van de kenmerken was de onopvallende en aanhoudende inbraak, gedaan via test Telnet-sessies door gebruik te maken van zwakke inloggegevens. De hackers hebben ze hoogstwaarschijnlijk bruut geforceerd of lijsten met standaardcombinaties van gebruikersnaam en wachtwoord gebruikt.
In vergelijking met andere botnets, een van de eerste acties die Torii uitvoerde, was het detecteren van architectuur om de geïnfecteerde host in een van de ingestelde categorieën te categoriseren. Het interessante feit is dat het botnet een breed scala aan populaire platforms leek te ondersteunen: x86_64, x86, ARM, MIPS, Motorola 68k, SuperH en PPC.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: