近来研究人员发觉,一种具有侧门功能的Linux恶意软件已存在多年时间linux启动盘制作工具,仍然不为人所知linux 防恶意代码软件,借助这个恶意软件使功击者才能从被功击的设备中获取和传送敏感信息。
该恶意软件被奇虎360的网路安全研究实验室(360Netlab)的研究人员称为RotaJakiro,虽然在2018年就首次上传了一个样本linux 防恶意代码软件,但现今尚未被VirusTotal反恶意软件引擎监测到。
RotaJakiro被设计成尽可能隐蔽地运行,使用ZLIB压缩和AES、XOR、ROTATE加密方式对其通讯通道进行加密。除此之外,它还竭力制止恶意软件剖析师对其进行分析,由于360Netlab的BotMon系统发觉样本中的资源信息还采用了AES算法进行加密。
研究人员表示:"在功能层面上,RotaJakiro首先在运行时会确定用户是root还是非root,不同帐户有不同的执行策略,之后使用AES&ROTATE对相关敏感资源进行揭秘,用于后续的持久化、进程守护和单实例使用,最后与C2构建通讯,等待执行C2发出的命令"。
功击者可以使用RotaJakiro来盗取系统信息和敏感数据、管理插件和文件,并在被功击的64位Linux设备上执行各类插件。
然而,因为涉及到了被感染系统上布署的插件时缺少可见性,因而研究人员仍未发觉恶意软件创建者对其恶意工具的真正意图。
RotaJakiro总共支持12个功能,其中三个与特定插件的执行有关。不幸的是,我们对这种插件没有可见性,因而不晓得它的真正目的。
自2018年第一个RotaJakiro样本登录VirusTotal以来,研究人员发觉在2018年5月至2021年1月期间上传了四个不同的样本linux设置默认网关,而所有那些样本的检查率都是零。