(來自:360 Netlab)
為瞭盡可能暗中運行,RotaJakiro 還利用瞭 ZLIB 壓縮和 AES / XOR / ROTATE 來加密通信信道,並且竭力阻止惡意軟件分析師對其進行剖析。
360 Netlab 指出,在該實驗室的 BotMon 監測系統發現的樣本中,RotaJakiro 也對自身資源信息套上瞭 AES 加密。
在功能性上,RotaJakiro 會先確定當前用戶是否具有 root 權限,並針對不同賬戶使用對應的執行策略。
而後利用 AES & Rotate 解密相關敏感資源,以利於保護後續長期存在的進程和實例,最終與命令與控制服務器建立通信、並等待執行命令。
據悉,RotaJakiro 總共支持 12 項功能,其中三個與特定插件的執行有關。攻擊者可利用 RotaJakiro 泄漏系統信息和敏感數據、管理插件和文件、以及在受感染的 64 位 Linux 設備上執行各種插件。
自首個 RotaJakiro 樣本於 2018 年首次被 VirusTotal 收錄以來,360 Netlab 已於 2018 年 5 月 ~ 2021 年 1 月之間發現瞭四個不同的樣本。
遺憾的是,由於在被感染系統上部署插件時缺乏可見性,360 Netlab 尚未發現惡意軟件創建者到底隱匿瞭這款後門工具的哪些真實意圖。
RotaJakiro 命令與後臺控制(C&C)服務器的域名,註冊於 6 年前的 2015 年 12 月,此外 360 Netlab 發現瞭指向 Torii IoT 僵屍網絡的連接。
該鏈接最初由惡意軟件專傢 Vesselin Bontchev 發現,而後 Avast 威脅情報團隊於 2018 年 9 月對其進行瞭分析。
可知兩款惡意軟件會在部署到受感染的系統後使用相同的命令、相似的構造方法、以及開發者使用的兩個常量。
功能方面,RotaJakiro 和 Torii 也有諸多相似之處,比如使用加密算法隱匿敏感資源流量、以及部署瞭一套潛伏得相當持久的結構化網絡。
留言列表
