Qihoo 360 Netlab揭示RotaJakiro Linux后門惡意軟件的更多細節 360|Netlab揭示RotaJaki

奇虎 360 網絡安全研究實驗室（360 Netlab）的研究人員，剛剛介紹了被稱作 RotaJakiro 的 Linux 后門惡意軟件的諸多細節。盡管 VirusTotal 反惡意軟件引擎在 2018 年就首次發現了該惡意軟件，但當時并沒有深入到了解它的后門。而在隱匿自身的 3 年多時間里，RotaJakiro 從受感染的設備上收集和泄露了許多敏感信息。
訪問購買頁面:
360官方旗艦店

文章圖片

（來自：360 Netlab）
為了盡可能暗中運行，RotaJakiro 還利用了 ZLIB 壓縮和 AES / XOR / ROTATE 來加密通信信道，并且竭力阻止惡意軟件分析師對其進行剖析。
360 Netlab 指出，在該實驗室的 BotMon 監測系統發現的樣本中，RotaJakiro 也對自身資源信息套上了 AES 加密。

在功能性上，RotaJakiro 會先確定當前用戶是否具有 root 權限，并針對不同賬戶使用對應的執行策略。
而后利用 AES & Rotate 解密相關敏感資源，以利于保護后續長期存在的進程和實例，最終與命令與控制服務器建立通信、并等待執行命令。

據悉，RotaJakiro 總共支持 12 項功能，其中三個與特定插件的執行有關。攻擊者可利用 RotaJakiro 泄漏系統信息和敏感數據、管理插件和文件、以及在受感染的 64 位 Linux 設備上執行各種插件。

Qihoo 360 Netlab揭示RotaJakiro Linux后門惡意軟件的更多細節

文章圖片

自首個 RotaJakiro 樣本于 2018 年首次被 VirusTotal 收錄以來，360 Netlab 已于 2018 年 5 月 ~ 2021 年 1 月之間發現了四個不同的樣本。
遺憾的是，由于在被感染系統上部署插件時缺乏可見性，360 Netlab 尚未發現惡意軟件創建者到底隱匿了這款后門工具的哪些真實意圖。
RotaJakiro 命令與后臺控制（C&C）服務器的域名，注冊于 6 年前的 2015 年 12 月，此外 360 Netlab 發現了指向 Torii IoT 僵尸網絡的連接。
該鏈接最初由惡意軟件專家 Vesselin Bontchev 發現，而后 Avast 威脅情報團隊于 2018 年 9 月對其進行了分析。
可知兩款惡意軟件會在部署到受感染的系統后使用相同的命令、相似的構造方法、以及開發者使用的兩個常量。
【Qihoo|360 Netlab揭示RotaJakiro Linux后門惡意軟件的更多細節】功能方面，RotaJakiro 和 Torii 也有諸多相似之處，比如使用加密算法隱匿敏感資源流量、以及部署了一套潛伏得相當持久的結構化網絡。