Casa > cibernético Notícias > Malware RotaJakiro não detectado anteriormente. Sistemas Linux X64
CYBER NEWS

RotaJakiro Malware Targets Não Detectado Anteriormente Sistemas Linux X64

Malware RotaJakiro tem como alvo linux x64 systems-sensorstechforum
Uma amostra de malware Linux circulou na web por pelo menos três anos sem ser detectada. A descoberta vem da empresa de segurança Qihoo 360 NETLAB.

"Em março 25, 2021, 360 O sistema BotMon da NETLAB sinalizou um arquivo ELF suspeito com 0 VT [VirusTotal] detecção, a amostra se comunica com 4 domínios em TCP 443 (HTTPS), mas o tráfego não é de TLS / SSL,” o relatório revela. Uma inspeção detalhada da amostra mostrou que ela pertencia a um backdoor voltado especificamente para sistemas Linux X64 que já existe há pelo menos três anos. Os pesquisadores nomearam o malware RotaJakiro com base no fato de que a família usa criptografia rotativa, e na execução se comporta de maneira diferente para contas root / não root.

Malware RotaJakiro: Visão geral técnica

o Linux o malware foi desenvolvido com a capacidade de ocultar seus rastros por meio de vários algoritmos de criptografia. Ele usa o algoritmo AES para criptografar as informações de recursos dentro da amostra. A comunicação C2 é criptografada usando uma combinação de AES, XOR, Encriptação ROTATE e compressão ZLIB.

De acordo com a pesquisa, o malware RotaJakiro suporta 12 funções específicas, três dos quais estão relacionados à execução de plug-ins específicos.

Infelizmente, os pesquisadores não têm qualquer visibilidade ou acesso aos plug-ins, e, portanto, eles não sabem seu "verdadeiro propósito". Usando uma perspectiva mais ampla de atividade de backdoor, o malware deve ser capaz das seguintes atividades maliciosas:

  • Relatório de informações do dispositivo
  • Roubo de informações confidenciais
  • Gerenciamento de arquivo / plug-in (inquerir, baixar, excluir)
  • Execução de Plugin específico

Como funciona o malware RotaJakiro Linux?

De acordo com o relatório, o malware determina primeiro se o usuário é root ou não root em tempo de execução, com políticas de execução diferentes para contas diferentes. Suas próximas etapas incluem a descriptografia dos recursos sensíveis relevantes usando AES& GIRAR para persistência subsequente, proteção de processamento e uso de instância única, e estabelecer comunicação com C2. Uma vez que essas etapas são executadas, o malware aguarda a execução de comandos emitidos pelo servidor de comando e controle.

A engenharia reversa de RotaJakiro mostra que ele compartilha estilos semelhantes com o malware Torii, como a utilização de criptografia para ocultar recursos confidenciais e a implementação de "um estilo de persistência bastante tradicional".

Mais sobre o malware Torii

o Torii botnet foi identificado em 2018. Uma de suas características era a intrusão furtiva e persistente, feito por meio de sessões Telnet de sondagem, usando credenciais fracas. Os hackers provavelmente os forçaram brutalmente ou usaram listas de combinações de nome de usuário e senha padrão.

Em comparação com outros botnets, uma das primeiras ações realizadas pelo Torii foi a detecção da arquitetura para categorizar o host infectado em uma das categorias definidas. O fato interessante é que o botnet parecia suportar uma grande variedade de plataformas populares: x86_64, x86, BRAÇO, MIPS, Motorola 68k, SuperH e PPC.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo