Uma amostra de malware Linux circulou na web por pelo menos três anos sem ser detectada. A descoberta vem da empresa de segurança Qihoo 360 NETLAB.
"Em março 25, 2021, 360 O sistema BotMon da NETLAB sinalizou um arquivo ELF suspeito com 0 VT [VirusTotal] detecção, a amostra se comunica com 4 domínios em TCP 443 (HTTPS), mas o tráfego não é de TLS / SSL,” o relatório revela. Uma inspeção detalhada da amostra mostrou que ela pertencia a um backdoor voltado especificamente para sistemas Linux X64 que já existe há pelo menos três anos. Os pesquisadores nomearam o malware RotaJakiro com base no fato de que a família usa criptografia rotativa, e na execução se comporta de maneira diferente para contas root / não root.
Malware RotaJakiro: Visão geral técnica
o Linux o malware foi desenvolvido com a capacidade de ocultar seus rastros por meio de vários algoritmos de criptografia. Ele usa o algoritmo AES para criptografar as informações de recursos dentro da amostra. A comunicação C2 é criptografada usando uma combinação de AES, XOR, Encriptação ROTATE e compressão ZLIB.
De acordo com a pesquisa, o malware RotaJakiro suporta 12 funções específicas, três dos quais estão relacionados à execução de plug-ins específicos.
Infelizmente, os pesquisadores não têm qualquer visibilidade ou acesso aos plug-ins, e, portanto, eles não sabem seu "verdadeiro propósito". Usando uma perspectiva mais ampla de atividade de backdoor, o malware deve ser capaz das seguintes atividades maliciosas:
- Relatório de informações do dispositivo
- Roubo de informações confidenciais
- Gerenciamento de arquivo / plug-in (inquerir, baixar, excluir)
- Execução de Plugin específico
Como funciona o malware RotaJakiro Linux?
De acordo com o relatório, o malware determina primeiro se o usuário é root ou não root em tempo de execução, com políticas de execução diferentes para contas diferentes. Suas próximas etapas incluem a descriptografia dos recursos sensíveis relevantes usando AES& GIRAR para persistência subsequente, proteção de processamento e uso de instância única, e estabelecer comunicação com C2. Uma vez que essas etapas são executadas, o malware aguarda a execução de comandos emitidos pelo servidor de comando e controle.
A engenharia reversa de RotaJakiro mostra que ele compartilha estilos semelhantes com o malware Torii, como a utilização de criptografia para ocultar recursos confidenciais e a implementação de "um estilo de persistência bastante tradicional".
Mais sobre o malware Torii
o Torii botnet foi identificado em 2018. Uma de suas características era a intrusão furtiva e persistente, feito por meio de sessões Telnet de sondagem, usando credenciais fracas. Os hackers provavelmente os forçaram brutalmente ou usaram listas de combinações de nome de usuário e senha padrão.
Em comparação com outros botnets, uma das primeiras ações realizadas pelo Torii foi a detecção da arquitetura para categorizar o host infectado em uma das categorias definidas. O fato interessante é que o botnet parecia suportar uma grande variedade de plataformas populares: x86_64, x86, BRAÇO, MIPS, Motorola 68k, SuperH e PPC.