Yakın zamanda keşfedilen ve arka kapı özelliklerine sahip bir Linux kötü amaçlı yazılımı, saldırganların güvenliği ihlal edilmiş cihazlardan hassas bilgileri toplamasına ve dışarı çıkarmasına olanak tanıyan bir güvenlik açığı tespit edildi.
Qihoo 360’ın Ağ Güvenliği Araştırma Laboratuvarı’ndaki (360 Netlab) araştırmacılar tarafından RotaJakiro olarak adlandırılan arka kapı, VirusTotal’ın kötü amaçlı yazılımdan koruma motorları tarafından tespit edilemiyor, ancak bir örnek ilk olarak 2018’de yüklendi.
RotaJakiro, iletişim kanallarını ZLIB sıkıştırması ve AES, XOR, ROTATE şifrelemesi kullanarak şifreleyerek mümkün olduğunca gizli çalışmak üzere tasarlanmıştır.
Ayrıca, 360 Netlab’ın BotMon sistemi tarafından tespit edilen örnekte bulunan kaynak bilgileri AES algoritması kullanılarak şifrelenirken, kötü amaçlı yazılım analistlerinin bunu incelemesini engellemek için elinden geleni yapıyor.
“İşlevsel düzeyde, RotaJakiro önce farklı hesaplar için farklı yürütme politikaları ile kullanıcının çalışma zamanında kök olup olmadığını belirler, ardından ilgili hassas kaynakların şifresini daha sonra kalıcılık, işlem koruması ve tek örnek kullanımı için AES & ROTATE kullanarak çözer, ve sonunda C2 ile iletişim kurar ve C2 tarafından verilen komutların yürütülmesini bekler, “dedi 360 Netlab.
Hassas Bilgileri Ele Geçiriyor!
Saldırganlar, RotaJakiro’yu sistem bilgilerini ve hassas verileri sızdırmak, eklentileri ve dosyaları yönetmek ve güvenliği ihlal edilmiş 64 bit Linux cihazlarında çeşitli eklentileri yürütmek için kullanabilir.
Bununla birlikte, 360 Netlab, virüslü sistemlere yerleştirdiği eklentiler söz konusu olduğunda görünürlük eksikliği nedeniyle kötü amaçlı yazılım oluşturucularının kötü amaçlı araçları için gerçek niyetini henüz keşfetmedi.
Araştırmacılar, “RotaJakiro, üçü belirli Eklentilerin yürütülmesiyle ilgili olmak üzere toplam 12 işlevi destekliyor,” diye eklediler. “Maalesef, eklentileri göremiyoruz ve bu nedenle gerçek amacını bilmiyoruz.”
İlk RotaJakiro örneğinin VirusTotal’a indiği 2018’den bu yana 360 Netlab, Mayıs 2018 ile Ocak 2021 arasında yüklenen dört farklı örnek buldu ve bunların tümü etkileyici bir toplam sıfır saptamaya sahipti.
Geçmişte kötü amaçlı yazılım tarafından kullanılan komuta ve kontrol sunucuları, altı yıl önce Aralık 2015’te kaydedilmiş etki alanlarına sahipti.
| Dosya adı | MD5 | Tespit etme | İlk VT’de Görüldü |
|---|---|---|---|
| systemd-arka plan programı | 1d45cd2c1283f927940c099b8fab593b | 0/61 | 2018-05-16 04:22:59 |
| systemd-arka plan programı | 11ad1e9b74b144d564825d65d7fb37d6 | 0/58 | 2018-12-25 08:02:05 |
| systemd-arka plan programı | 5c0f375e92f551e8f2321b141c15c48f | 0/56 | 2020-05-08 05:50:06 |
| gvfsd yardımcısı | 64f6cfe44ba08b0babdd3904233c4857 | 0/61 | 2021-01-18 13:13:19 |
360 Netlab araştırmacıları ayrıca, ilk olarak kötü amaçlı yazılım uzmanı Vesselin Bontchev tarafından tespit edilen ve Eylül 2018’de Avast’ın Tehdit İstihbarat Ekibi tarafından analiz edilen Torii IoT botnet bağlantılarını keşfetti.
İki kötü amaçlı yazılım türü, tehlikeye atılan sistemlere, benzer yapım yöntemlerine ve her iki geliştirici tarafından kullanılan sabitlere dağıtıldıktan sonra aynı komutları kullanır.
RotaJakiro ve Torii ayrıca, “hassas kaynakları gizlemek için şifreleme algoritmalarının kullanılması, oldukça eski tarz bir kalıcılığın uygulanması, yapılandırılmış ağ trafiği” dahil olmak üzere birçok işlevsel benzerliği paylaşıyor.
