Share This
Связаться со мной
Крути в низ
Categories
//Скрытое вредоносное ПО для бэкдора Linux обнаружили спустя три года

Скрытое вредоносное ПО для бэкдора Linux обнаружили спустя три года

02.05.2021Category : My Habr

Китайское подразделение безопасности Qihoo 360 Netlab обнаружило вредоносное ПО для бэкдора Linux, которое оставалось незамеченным в течение трех лет.

skrytoe vredonosnoe po dlja bekdora linux obnaruzhili spustja tri goda d694cf7 - Скрытое вредоносное ПО для бэкдора Linux обнаружили спустя три года

Фирма сообщила, что ее система мониторинга ботов обнаружила 25 марта подозрительную программу ELF, которая взаимодействовала с четырьмя доменами управления и контроля (C2) через порт TCP HTTPS 443, хотя используемый протокол на самом деле не является TLS / SSL.

«При внимательном рассмотрении образца выяснилось, что это бэкдор, нацеленный на системы Linux X64, семейство, которое существует уже не менее трех лет», — сказали исследователи Netlab Алекс Тьюринг и Хуэй Ван в своем заключении.

Подпись MD5 для файла systemd-daemon впервые появилась в VirusTotal 16 мая 2018 года. Два других файла с именами systemd-daemon и gvfsd-helper обнаружили в течение следующих трех лет.

Связь с systemd, широко используемым менеджером системы и сеансов для Linux, могла быть выбрана авторами программ, чтобы уменьшить вероятность того, что вредоносный код будет замечен администраторами, просматривающими журналы и списки процессов.

Netlab окрестил семейство вредоносных программ RotaJakiro, потому что оно ведет себя по-разному в зависимости от того, запущено ли в учетной записи root или нет. Jakiro — это отсылка к персонажу из игры Dota 2. Вредоносная программа пытается скрыть себя с помощью нескольких алгоритмов шифрования. Она полагается на AES для защиты своих собственных ресурсов и на комбинацию AES, XOR и ротационного шифрования вместе со сжатием ZLIB, чтобы скрыть связь с сервером. Домены C2, с которыми связывается вредоносное ПО, были зарегистрированы через Web4Africa в декабре 2015 года и полагаются на хостинг, предоставленный Deltahost PTR в Киеве.

Вредоносная программа не является эксплойтом; скорее, это полезная нагрузка, открывающая бэкдор на целевой машине. Она может быть установлена ничего не подозревающим пользователем, злоумышленником или через троянскую программу-дроппер.

Согласно данным Netlab, RotaJakiro поддерживает 12 команд, в том числе «Украсть конфиденциальную информацию», «Загрузить информацию об устройстве», «Доставить файл / подключаемый модуль» и три варианта «Запустить подключаемый модуль».

Фирма по безопасности видит некоторое сходство между RotaJakiro и ботнетом Torii, обнаруженным Avast в сентябре 2018 года.

  • 0 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close