Threat Database Backdoors RotaJakiro木馬

RotaJakiro木馬

網絡安全研究人員發現了一種惡意軟件威脅,該威脅能夠隱藏多年並執行其邪惡活動。該威脅名為RotaJakiro Trojan,旨在感染Linux系統,然後建立後門機制。威脅執行者可以命令威脅工具從受感染的系統中收集然後洩露敏感的私有數據。 RotaJackiro還可以管理和執行插件和文件。

RotaJakiro通過採用多種迴避檢測和反分析技術,實現了令人印象深刻的隱身能力。該威脅需要付出很大的努力來隱藏其網絡通信和資源信息。通過威脅的通信通道的流量首先使用ZLIB壓縮,然後使用AES,XOR,ROTATE加密進行加擾。 AES加密還用於保護RotaJakiro的資源。

RotaJakiro的功能

在目標Linux系統上建立後,RotaJakiro在運行時的第一個操作是確定用戶是否具有root用戶訪問權限。根據結果,威脅會激活並執行不同的策略。然後,使用AES ROTATE,RotaJakiro解密創建持久性機制和保護進程所需的資源。僅在此之後,威脅才會嘗試與其命令和控制(C2,C&C)服務器進行通信。

到目前為止,尚未成功發現負責部署RotaJakiro的網絡罪犯的真正目的。主要障礙是缺乏對威脅執行的插件的了解。奇虎360網絡安全研究實驗室(360 Netlab)的分析師列出了RotaJakiro執行的12種不同功能,其中三種與運行特定的插件有關。

與其他惡意軟件的相似性

RotaJakiro的特徵表明,該威脅與Torii IoT(物聯網)殭屍網絡有著重大的重疊。安全專家Vesselin Bontchev首次觀察到Torii,並於2018年9月由Avast的威脅情報團隊進行了分析。儘管目標不同,但這兩種惡意軟件毒株在受感染的系統上使用相同的命令,同時具有相似的構造方法和代碼常量。

RotaJakiro和Torii都依靠加密算法來保護自己,以防安全研究人員深入研究其代碼和資源。此外,持久性機制和威脅構成其網絡流量的方式還顯示了這兩種惡意軟件之間的其他鏈接。

熱門

最受關注

加載中...