Connect with us

Hi, what are you looking for?

Headline

Stealthy RotaJakiro Backdoor Menargetkan Sistem Linux

view counter

[ad_1]

Malware Linux yang sebelumnya tidak berdokumen dan tersembunyi bernama RotaJakiro telah ditemukan menargetkan sistem Linux X64. Sudah tidak terdeteksi setidaknya selama tiga tahun, dan beroperasi sebagai pintu belakang.

Empat sampel sekarang telah ditemukan, semuanya menggunakan C2 yang sama. Yang paling awal ditemukan pada tahun 2018. Tidak ada sampel yang diberi label malware oleh VirusTotal.

Penemuan itu dilakukan oleh para peneliti di perusahaan keamanan China Qihoo 360 NETLAB setelah sistem BotMon mereka menandai file ELF yang mencurigakan. Penyelidikan mengungkapkan malware pintu belakang yang mereka beri nama RotaJakiro, karena, kata para peneliti, “keluarga menggunakan enkripsi rotasi dan berperilaku berbeda untuk akun root / non-root saat menjalankan”.

Malware ini mendukung 12 fungsi, tiga di antaranya melibatkan plug-in khusus yang diunduh dari C2. Para peneliti belum berhasil mengakses plugin apa pun, jadi tidak dapat berkomentar tentang tujuannya. Namun, fungsi yang terdapat pada malware dapat dikategorikan sebagai mengumpulkan informasi perangkat, mencuri informasi sensitif, dan mengelola plug-in. Para peneliti belum tahu bagaimana malware menyebar atau dikirim.

Masing-masing dari empat sampel yang ditemukan memiliki empat C2 yang sama yang tertanam. Ini adalah berita (.) Thaprior (.) Net, blog (.) Eduelects.com, cdn (.) Mirror-codes (.) Net, dan status.sublineover.net. Semuanya terdaftar pada Desember 2015, menunjukkan malware tersebut mungkin lebih tua dari tiga tahun yang dikonfirmasi.

Sifat tersembunyi dari malware ini sebagian karena rotasi melalui berbagai algoritma enkripsi saat berkomunikasi dengan server C2-nya. “Pada tingkat pengkodean,” kata para peneliti, RotaJakiro menggunakan teknik seperti AES dinamis, protokol komunikasi terenkripsi lapis ganda untuk melawan analisis lalu lintas biner & jaringan. ”

Ada dua tahap komunikasi C2-nya. Fase awal mendekripsi daftar C2, membuat koneksi dengan C2, mengenkripsi dan mengirimkan informasi online, serta menerima dan mendekripsi informasi yang dikembalikan oleh C2.

Tahap kedua adalah memverifikasi informasi yang diterima dari C2, dan kemudian – jika diverifikasi – untuk menjalankan perintah yang diterima.

Advertisement. Scroll to continue reading.

Persistensi dan proses menjaga ditangani secara berbeda untuk akun root dan non-root yang terinfeksi. Untuk menjaga proses pada akun root, proses baru secara otomatis dibuat saat proses layanan dihentikan. Pada akun non-root, malware menghasilkan dua proses yang memantau satu sama lain. Jika salah satu dihentikan, yang lain memulihkannya.

Belum jelas apakah malware tersebut dirancang untuk kategori target tertentu, atau apa tujuan jangka panjangnya. Namun, kemampuan untuk mengunduh banyak plugin berarti potensinya untuk aktivitas berbahaya tidak boleh diremehkan.

Para peneliti mencatat bahwa ada kesamaan internal antara RotaJakiro dan Botnet Torii IoT ditemukan oleh Avast pada tahun 2018. Torii adalah bot yang lengkap. Tahap kedua dapat menjalankan perintah dari server C2, sedangkan malware juga menyertakan teknik anti-debugging sederhana, eksfiltrasi data, enkripsi komunikasi multi-level, dan kemampuan lainnya.

“Meskipun penyelidikan kami terus berlanjut,” kata Avast saat itu, “Torii adalah contoh evolusi malware IoT, dan kecanggihannya berada di atas apa pun yang pernah kami lihat sebelumnya. Setelah menginfeksi perangkat, tidak hanya mengirimkan cukup banyak informasi tentang mesin yang disimpannya ke C&C, tetapi dengan berkomunikasi dengan C&C, memungkinkan penulis Torii untuk mengeksekusi kode apa pun atau mengirimkan muatan apa pun ke perangkat yang terinfeksi. Ini menunjukkan bahwa Torii dapat menjadi platform modular untuk penggunaan di masa mendatang, ”Avast menyimpulkan.

Terkait: Peretas yang Terhubung ke China Menargetkan Server Linux Secara Sistematis Selama Bertahun-Tahun

Terkait: Privilege Escalation Bugs Ditambal di Kernel Linux

Terkait: Mirai Linux Backdoor Menargetkan Perangkat IoT

Terkait: Pengembangan Keamanan Kernel Linux Google Funds

lihat counter

Kevin Townsend adalah Kontributor Senior di SecurityWeek. Dia telah menulis tentang masalah teknologi tinggi sejak sebelum kelahiran Microsoft. Selama 15 tahun terakhir ia memiliki spesialisasi dalam keamanan informasi; dan telah memiliki ribuan artikel yang diterbitkan di lusinan majalah berbeda – dari The Times dan Financial Times hingga majalah komputer terkini dan lama.

Kolom Sebelumnya oleh Kevin Townsend:
Tag:

[ad_2]

Source

Advertisement. Scroll to continue reading.
Click to comment

Leave a Reply

Alamat email Anda tidak akan dipublikasikan.

Artikel Lainnya

Advertisement
close