奇虎 360 网络安全研究实验室(360 Netlab)的研究人员,刚刚介绍了被称作 RotaJakiro 的 Linux 后门恶意软件的诸多细节。尽管 VirusTotal 反恶意软件引擎在 2018 年就首次发现了该恶意软件,但当时并没有深入到了解它的后门。而在隐匿自身的 3 年多时间里,RotaJakiro 从受感染的设备上收集和泄露了许多敏感信息。 (来自:360 Netlab) 为了尽可能暗中运行,RotaJakiro 还利用了 ZLIB 压缩和 AES / XOR / ROTATE 来加密通信信道,并且竭力阻止恶意软件分析师对其进行剖析。 360 Netlab 指出,在该实验室的 BotMon 监测系统发现的样本中,RotaJakiro 也对自身资源信息套上了 AES 加密。 在功能性上,RotaJakiro 会先确定当前用户是否具有 root 权限,并针对不同账户使用对应的执行策略。 而后利用 AES & Rotate 解密相关敏感资源,以利于保护后续长期存在的进程和实例,最终与命令与控制服务器建立通信、并等待执行命令。 据悉,RotaJakiro 总共支持 12 项功能,其中三个与特定插件的执行有关。攻击者可利用 RotaJakiro 泄漏系统信息和敏感数据、管理插件和文件、以及在受感染的 64 位 Linux 设备上执行各种插件。 自首个 RotaJakiro 样本于 2018 年首次被 VirusTotal 收录以来,360 Netlab 已于 2018 年 5 月 ~ 2021 年 1 月之间发现了四个不同的样本。 遗憾的是,由于在被感染系统上部署插件时缺乏可见性,360 Netlab 尚未发现恶意软件创建者到底隐匿了这款后门工具的哪些真实意图。 RotaJakiro 命令与后台控制(C&C)服务器的域名,注册于 6 年前的 2015 年 12 月,此外 360 Netlab 发现了指向 Torii IoT 僵尸网络的连接。 该链接最初由恶意软件专家 Vesselin Bontchev 发现,而后 Avast 威胁情报团队于 2018 年 9 月对其进行了分析。 可知两款恶意软件会在部署到受感染的系统后使用相同的命令、相似的构造方法、以及开发者使用的两个常量。 功能方面,RotaJakiro 和 Torii 也有诸多相似之处,比如使用加密算法隐匿敏感资源流量、以及部署了一套潜伏得相当持久的结构化网络。
