RotaJakiro: nuevo malware de Linux disfrazado de proceso systemd

mayo 03, 2021 , 0 Comments

 

El laboratorio de investigación 360 Netlab anunció la identificación de un nuevo malware para Linux, con nombre en código RotaJakiro y que incluye una implementación de backdoor que permite controlar el sistema. Los atacantes podrían haber instalado software malicioso después de explotar vulnerabilidades no reparadas en el sistema o adivinar contraseñas débiles.

El backdoor se descubrió durante el análisis del tráfico sospechoso de uno de los procesos del sistema identificados durante el análisis de la estructura de la botnet utilizada para el ataque DDoS. Antes de esto, RotaJakiro pasó desapercibido durante tres años, en particular, los primeros intentos de verificar archivos con hash MD5 en el servicio VirusTotal que coinciden con el malware detectado datan de mayo de 2018.

Lo llamamos RotaJakiro basándonos en el hecho de que la familia usa cifrado rotativo y se comporta de manera diferente root/non-root accountscuando se ejecuta.

RotaJakiro presta bastante atención para ocultar sus rastros, utilizando múltiples algoritmos de encriptación, que incluyen: el uso del algoritmo AES para encriptar la información del recurso dentro de la muestra; Comunicación C2 mediante una combinación de AES, XOR, ROTATE encryptiony ZLIB compression.

Una de las características de RotaJakiro es el uso de diferentes técnicas de enmascaramiento cuando se ejecuta como usuario sin privilegios y root. Para ocultar su presencia, el malware utilizó los nombres de proceso systemd-daemon, session-dbus y gvfsd-helper, que, dado el desorden de las distribuciones modernas de Linux con todo tipo de procesos de servicio, a primera vista parecían legítimos y no despertaron sospechas.

RotaJakiro utiliza técnicas como AES dinámico, protocolos de comunicación encriptados de doble capa para contrarrestar el análisis de tráfico binario y de red.
RotaJakiro primero determina si el usuario es root o no root en tiempo de ejecución, con diferentes políticas de ejecución para diferentes cuentas, a continuación, descifra los recursos sensibles relevantes.

Cuando se ejecuta como root, los scripts systemd-agent.conf y sys-temd-agent.service se crearon para activar el malware y el ejecutable malicioso se ubicó dentro de las siguientes rutas: /bin/systemd/systemd -daemon y /usr/lib/systemd/systemd-daemon (funcionalidad duplicada en dos archivos).

Mientras que cuando se ejecutó como un usuario normal, se utilizó el archivo de ejecución automática $HOME/.config/au-tostart/gnomehelper.desktop y se realizaron cambios en .bashrc, y el archivo ejecutable se guardó como $HOME/.gvfsd/.profile/gvfsd-helper y $HOME/.dbus/sessions/session-dbus. Ambos archivos ejecutables se lanzaron al mismo tiempo, cada uno de los cuales monitoreaba la presencia del otro y lo restauraba en caso de apagado.

RotaJakiro admite un total de 12 funciones, tres de las cuales están relacionadas con la ejecución de complementos específicos. Desafortunadamente, no tenemos visibilidad de los complementos y, por lo tanto, no conocemos su verdadero propósito. Desde una perspectiva amplia de puerta trasera, las funciones se pueden agrupar en las siguientes cuatro categorías.

Informar la información del dispositivo
Robar información sensible
Gestión de archivos / complementos (consultar, descargar, eliminar)
Ejecución de un complemento específico

Para ocultar los resultados de sus actividades en el backdoor, se utilizaron varios algoritmos de cifrado, por ejemplo, se utilizó AES para cifrar sus recursos y para ocultar el canal de comunicación con el servidor de control, además del uso de AES, XOR y ROTATE en combinación con compresión usando ZLIB. Para recibir comandos de control, el malware accedió a 4 dominios a través del puerto de red 443 (el canal de comunicación usó su propio protocolo, no HTTPS y TLS).

Los dominios (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com y news.thaprior.net) se registraron en 2015 y fueron alojados por el proveedor de alojamiento de Kiev Deltahost. Se integraron 12 funciones básicas en la puerta trasera, lo que permitió cargar y ejecutar complementos con funcionalidad avanzada, transferir datos del dispositivo, interceptar datos confidenciales y administrar archivos locales.

Desde la perspectiva de la ingeniería inversa, RotaJakiro y Torii comparten estilos similares: el uso de algoritmos de cifrado para ocultar recursos sensibles, la implementación de un estilo de persistencia bastante anticuado, tráfico de red estructurado, etc.

Finalmente si estás interesado en conocer más al respecto sobre la investigación realizada por 360 Netlab, puedes consultar los detalles dirigiéndote al siguiente enlace.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.