Casa > cibernético Notícias > Malware RotaJakiro não detectado anteriormente. Sistemas Linux X64
CYBER NEWS

RotaJakiro Malware Targets Não Detectado Anteriormente Sistemas Linux X64

Malware RotaJakiro tem como alvo linux x64 systems-sensorstechforum
Uma amostra de malware Linux circulou na web por pelo menos três anos sem ser detectada. A descoberta vem da empresa de segurança Qihoo 360 NETLAB.

"Em março 25, 2021, 360 O sistema BotMon da NETLAB sinalizou um arquivo ELF suspeito com 0 VT [VirusTotal] detecção, a amostra se comunica com 4 domínios em TCP 443 (HTTPS), mas o tráfego não é de TLS / SSL,” o relatório revela. Uma inspeção detalhada da amostra mostrou que ela pertencia a um backdoor voltado especificamente para sistemas Linux X64 que já existe há pelo menos três anos. Os pesquisadores nomearam o malware RotaJakiro com base no fato de que a família usa criptografia rotativa, e na execução se comporta de maneira diferente para contas root / não root.

Malware RotaJakiro: Visão geral técnica

o Linux o malware foi desenvolvido com a capacidade de ocultar seus rastros por meio de vários algoritmos de criptografia. Ele usa o algoritmo AES para criptografar as informações de recursos dentro da amostra. A comunicação C2 é criptografada usando uma combinação de AES, XOR, Encriptação ROTATE e compressão ZLIB.

De acordo com a pesquisa, o malware RotaJakiro suporta 12 funções específicas, três dos quais estão relacionados à execução de plug-ins específicos.

Infelizmente, os pesquisadores não têm qualquer visibilidade ou acesso aos plug-ins, e, portanto, eles não sabem seu "verdadeiro propósito". Usando uma perspectiva mais ampla de atividade de backdoor, o malware deve ser capaz das seguintes atividades maliciosas:

  • Relatório de informações do dispositivo
  • Roubo de informações confidenciais
  • Gerenciamento de arquivo / plug-in (inquerir, baixar, excluir)
  • Execução de Plugin específico

Como funciona o malware RotaJakiro Linux?

De acordo com o relatório, o malware determina primeiro se o usuário é root ou não root em tempo de execução, com políticas de execução diferentes para contas diferentes. Suas próximas etapas incluem a descriptografia dos recursos sensíveis relevantes usando AES& GIRAR para persistência subsequente, proteção de processamento e uso de instância única, e estabelecer comunicação com C2. Uma vez que essas etapas são executadas, o malware aguarda a execução de comandos emitidos pelo servidor de comando e controle.

A engenharia reversa de RotaJakiro mostra que ele compartilha estilos semelhantes com o malware Torii, como a utilização de criptografia para ocultar recursos confidenciais e a implementação de "um estilo de persistência bastante tradicional".

Mais sobre o malware Torii

o Torii botnet foi identificado em 2018. Uma de suas características era a intrusão furtiva e persistente, feito por meio de sessões Telnet de sondagem, usando credenciais fracas. Os hackers provavelmente os forçaram brutalmente ou usaram listas de combinações de nome de usuário e senha padrão.

Em comparação com outros botnets, uma das primeiras ações realizadas pelo Torii foi a detecção da arquitetura para categorizar o host infectado em uma das categorias definidas. O fato interessante é que o botnet parecia suportar uma grande variedade de plataformas populares: x86_64, x86, BRAÇO, MIPS, Motorola 68k, SuperH e PPC.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...