Threat Database Backdoors RotaJakiro木马

RotaJakiro木马

网络安全研究人员发现了一种恶意软件威胁,该威胁能够隐藏多年并执行其邪恶活动。该威胁名为RotaJakiro Trojan,旨在感染Linux系统,然后建立后门机制。威胁执行者可以命令威胁工具从受感染的系统中收集然后泄露敏感的私有数据。 RotaJackiro还可以管理和执行插件和文件。

RotaJakiro通过采用多种回避检测和反分析技术,实现了令人印象深刻的隐身能力。该威胁需要付出很大的努力来隐藏其网络通信和资源信息。通过威胁的通信通道的流量首先使用ZLIB压缩,然后使用AES,XOR,ROTATE加密进行加扰。 AES加密还用于保护RotaJakiro的资源。

RotaJakiro的功能

在目标Linux系统上建立后,RotaJakiro在运行时的第一个操作是确定用户是否具有root用户访问权限。根据结果,威胁会激活并执行不同的策略。然后,使用AES ROTATE,RotaJakiro解密创建持久性机制和保护进程所需的资源。仅在此之后,威胁才会尝试与其命令和控制(C2,C&C)服务器进行通信。

到目前为止,尚未成功发现负责部署RotaJakiro的网络罪犯的真正目的。主要障碍是缺乏对威胁执行的插件的了解。奇虎360网络安全研究实验室(360 Netlab)的分析师列出了RotaJakiro执行的12种不同功能,其中三种与运行特定的插件有关。

与其他恶意软件的相似性

RotaJakiro的特征表明,该威胁与Torii IoT(物联网)僵尸网络有着重大的重叠。安全专家Vesselin Bontchev首次观察到Torii,并于2018年9月由Avast的威胁情报团队进行了分析。尽管目标不同,但这两种恶意软件毒株在受感染的系统上使用相同的命令,同时具有相似的构造方法和代码常量。

RotaJakiro和Torii都依靠加密算法来保护自己,以防安全研究人员深入研究其代码和资源。此外,持久性机制和威胁构成其网络流量的方式还显示了这两种恶意软件之间的其他链接。

趋势

最受关注

正在加载...