360旗下的网络安全研究实验室Netlab揪出潜伏在Linux系统中长达3年的木马程序RotaJakiro
除了以AES来加密恶意软件内的信息，木马程序RotaJakiro与命令&控制（C&C）服务器的通讯，更采用AES、XOR、ROTATE与ZLIB压缩等加密算法，来掩饰行踪与来源
.
360旗下的网络安全研究实验室Netlab在本周指出，有一木马程序RotaJakiro潜伏在Linux系统中至少长达3年。

根据Netlab的分析，RotaJakiro为一针对Linux x64系统的木马程序，它使用轮替加密，而且在执行后对于Root或非Root账户有不同的行为，犹如Dota游戏中的双头龙（Jakiro），使得该团队将它命名为RotaJakiro。
Netlab团队追踪到RotaJakiro的C&C服务器，发现这些服务器存在的年代更久，在他们取得的4个RotaJakiro样本中，最早的一个是在2018年创立，而其C&C服务器最早建立的日期，却是在2015年。

此外，Netlab团队也相信RotaJakiro与Torii傀儡网络有关，因为它们使用了很多一样的命令，建构的方式也非常的类似，同样利用各种加密算法来掩饰行踪与来源，也都采用老派的长驻与结构化的流量手法。

Avast曾在2018年揭露Torii的存在，指称它是个复杂的IoT傀儡网络，可入侵包括MIPS、Arm、x86、x64、PowerPC与SuperH等架构的装置，且相信它至少自2017年便开始活动。

RotaJakiro不仅以AES来加密恶意软件内的信息，其与命令&控制（C&C）服务器的通讯，更采用了AES、XOR、ROTATE与ZLIB压缩等加密算法，此外，RotaJakiro支持12种指令，其中有3种是执行特定的插件，Netlab团队目前尚未得知RotaJakiro的目的，推测其指令可能具备回报装置信息、窃取机密信息、查询/下载/删除档案，以及执行特定插件等功能。
RotaJakiro隐蔽性较强，对加密算法使用比较多，包括：使用AES算法加密样本内的资源信息；C2通信综合使用了AES，XOR，ROTATE加密和ZLIB压缩算法。指令方面，RotaJakiro支持12种指令码，其中3种是和特定plugin相关的，遗憾的是目前我们并没有捕获到这类payload，因此并不知道它的真正目的。从广义的后门角度来看，RotaJakiro支持的功能可以归纳成以下4类：

上报设备信息
窃取敏感的信息
文件/Plugin管理(查询，下载，删除)
执行特定的Plugin
当所有分析结束后，我们尝试对RotaJakiro进行溯源，根据解密后的资源以及编码的风格的相似性，我们推测它是Torii Botnet作者的又一作品。

RotaJakiro潜伏了多少？
我们从捕获的样本出发，寻找RotaJakiro同源者，最终发现了以下4个样本，它们在VT上都是0检测，从VT的First Seen时间来看，RotaJakiro至少已经存在了3年。

概述
2021年3月25日，360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(MD5=64f6cfe44ba08b0babdd3904233c4857)，它会与4个业务类型截然不同的域名进行通信，端口均为TCP 443（HTTPS），但流量却并非TLS/SSL类型，这个异常行为引起了我们的兴趣，进一步分析发现它是一个针对Linux X64系统的后门木马，该家族至少已经存在3年但目前还是0检测。基于该家族使用rotate加密，并且运行后对root/non-root账户有不同的行为，犹如一只双头龙，一体双向，我们将它命名为RotaJakiro。