360旗下安全实验室Netlab发现Linux木马病毒RotaJakiro(双头龙)

360旗下的网络安全研究实验室Netlab揪出潜伏在Linux系统中长达3年的木马程序RotaJakiro
除了以AES来加密恶意软件内的信息,木马程序RotaJakiro与命令&控制(C&C)服务器的通讯,更采用AES、XOR、ROTATE与ZLIB压缩等加密算法,来掩饰行踪与来源
.
360旗下的网络安全研究实验室Netlab在本周指出,有一木马程序RotaJakiro潜伏在Linux系统中至少长达3年。

根据Netlab的分析,RotaJakiro为一针对Linux x64系统的木马程序,它使用轮替加密,而且在执行后对于Root或非Root账户有不同的行为,犹如Dota游戏中的双头龙(Jakiro),使得该团队将它命名为RotaJakiro。
Netlab团队追踪到RotaJakiro的C&C服务器,发现这些服务器存在的年代更久,在他们取得的4个RotaJakiro样本中,最早的一个是在2018年创立,而其C&C服务器最早建立的日期,却是在2015年。

此外,Netlab团队也相信RotaJakiro与Torii傀儡网络有关,因为它们使用了很多一样的命令,建构的方式也非常的类似,同样利用各种加密算法来掩饰行踪与来源,也都采用老派的长驻与结构化的流量手法。

Avast曾在2018年揭露Torii的存在,指称它是个复杂的IoT傀儡网络,可入侵包括MIPS、Arm、x86、x64、PowerPC与SuperH等架构的装置,且相信它至少自2017年便开始活动。

RotaJakiro不仅以AES来加密恶意软件内的信息,其与命令&控制(C&C)服务器的通讯,更采用了AES、XOR、ROTATE与ZLIB压缩等加密算法,此外,RotaJakiro支持12种指令,其中有3种是执行特定的插件,Netlab团队目前尚未得知RotaJakiro的目的,推测其指令可能具备回报装置信息、窃取机密信息、查询/下载/删除档案,以及执行特定插件等功能。
RotaJakiro隐蔽性较强,对加密算法使用比较多,包括:使用AES算法加密样本内的资源信息;C2通信综合使用了AES,XOR,ROTATE加密和ZLIB压缩算法。指令方面,RotaJakiro支持12种指令码,其中3种是和特定plugin相关的,遗憾的是目前我们并没有捕获到这类payload,因此并不知道它的真正目的。从广义的后门角度来看,RotaJakiro支持的功能可以归纳成以下4类:

上报设备信息
窃取敏感的信息
文件/Plugin管理(查询,下载,删除)
执行特定的Plugin
当所有分析结束后,我们尝试对RotaJakiro进行溯源,根据解密后的资源以及编码的风格的相似性,我们推测它是Torii Botnet作者的又一作品。

RotaJakiro潜伏了多少?
我们从捕获的样本出发,寻找RotaJakiro同源者,最终发现了以下4个样本,它们在VT上都是0检测,从VT的First Seen时间来看,RotaJakiro至少已经存在了3年。

概述
2021年3月25日,360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857),它会与4个业务类型截然不同的域名进行通信,端口均为TCP 443(HTTPS),但流量却并非TLS/SSL类型,这个异常行为引起了我们的兴趣,进一步分析发现它是一个针对Linux X64系统的后门木马,该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密,并且运行后对root/non-root账户有不同的行为,犹如一只双头龙,一体双向,我们将它命名为RotaJakiro。

 


评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注