幺妹直播官方版_幺妹直播直播视频在线观看免费版下载_幺妹直播安卓高清版下载

首頁 > 業(yè)界 > 關(guān)鍵詞  > 惡意軟件最新資訊  > 正文

360 Netlab揭示RotaJakiro Linux后門惡意軟件的更多細節(jié)

2021-04-30 13:50 · 稿源: cnbeta

奇虎 360 網(wǎng)絡(luò)安全研究實驗室(360 Netlab)的研究人員,剛剛介紹了被稱作 RotaJakiro 的 Linux 后門惡意軟件的諸多細節(jié)。盡管 VirusTotal 反惡意軟件引擎在 2018 年就首次發(fā)現(xiàn)了該惡意軟件,但當(dāng)時并沒有深入到了解它的后門。而在隱匿自身的 3 年多時間里,RotaJakiro 從受感染的設(shè)備上收集和泄露了許多敏感信息。

(來自:360 Netlab)

為了盡可能暗中運行,RotaJakiro 還利用了 ZLIB 壓縮和 AES / XOR / ROTATE 來加密通信信道,并且竭力阻止惡意軟件分析師對其進行剖析。

360 Netlab 指出,在該實驗室的 BotMon 監(jiān)測系統(tǒng)發(fā)現(xiàn)的樣本中,RotaJakiro 也對自身資源信息套上了 AES 加密。

在功能性上,RotaJakiro 會先確定當(dāng)前用戶是否具有 root 權(quán)限,并針對不同賬戶使用對應(yīng)的執(zhí)行策略。

而后利用 AESRotate 解密相關(guān)敏感資源,以利于保護后續(xù)長期存在的進程和實例,最終與命令與控制服務(wù)器建立通信、并等待執(zhí)行命令。

據(jù)悉,RotaJakiro 總共支持 12 項功能,其中三個與特定插件的執(zhí)行有關(guān)。攻擊者可利用 RotaJakiro 泄漏系統(tǒng)信息和敏感數(shù)據(jù)、管理插件和文件、以及在受感染的 64 位 Linux 設(shè)備上執(zhí)行各種插件。

自首個 RotaJakiro 樣本于 2018 年首次被 VirusTotal 收錄以來,360 Netlab 已于 2018 年 5 月 ~ 2021 年 1 月之間發(fā)現(xiàn)了四個不同的樣本。

遺憾的是,由于在被感染系統(tǒng)上部署插件時缺乏可見性,360 Netlab 尚未發(fā)現(xiàn)惡意軟件創(chuàng)建者到底隱匿了這款后門工具的哪些真實意圖。

RotaJakiro 命令與后臺控制(CC)服務(wù)器的域名,注冊于 6 年前的 2015 年 12 月,此外 360 Netlab 發(fā)現(xiàn)了指向 Torii IoT 僵尸網(wǎng)絡(luò)的連接。

該鏈接最初由惡意軟件專家 Vesselin Bontchev 發(fā)現(xiàn),而后 Avast 威脅情報團隊于 2018 年 9 月對其進行了分析。

可知兩款惡意軟件會在部署到受感染的系統(tǒng)后使用相同的命令、相似的構(gòu)造方法、以及開發(fā)者使用的兩個常量。

功能方面,RotaJakiro 和 Torii 也有諸多相似之處,比如使用加密算法隱匿敏感資源流量、以及部署了一套潛伏得相當(dāng)持久的結(jié)構(gòu)化網(wǎng)絡(luò)。

舉報

  • 相關(guān)推薦

熱文

  • 3 天
  • 7天