Yeni Bir Linux Kötü Amaçlı Yazılımı Olan RotaJakiro Keşfedildi!

360 NetLab araştırma ekibi, olağanüstü arka kapı özelliklerine sahip yeni bir Linux kötü amaçlı yazılım türü olan, RotaJakiro olarak adlandırılan yazılımı keşfettiğini duyurdu. Kötü amaçlı yazılım bilgisayar korsanlarının Linux sistemlerden hassas sistem verilerini ele geçirerek tüm iletişim kanallarını ROTATE, XOR, AES şifreleme ve ZLIB sıkıştırması yoluyla şifrelediği keşfedildi. Araştırmalar, RotaJakiro kötü amaçlı yazılımının aktif faaliyet yürüttüğü son üç yılda tespit edilemeyerek kendisini gizlemeyi başardığını, VirusTotal’ın kötü amaçlı yazılım tarama motorlarının bile keşfedemediği açıklandı. Mart 2021’de 360 ​​NetLab araştırmacısı , kötü amaçlı yazılımın dört örneğini keşfetti . Şimdiye kadar bunların tümü, kötü amaçlı yazılımdan koruma motorları tarafından keşfedilmedi ve yalnızca yedi güvenlik satıcısı, kötü amaçlı yazılımın en son sürümünü kötü amaçlı olarak belirlemeyi başardı.

360 NetLab’ın BotMon sistemi tarafından bulunan örnek içindeki kaynak bilgileri AES algoritması ile şifrelenmiş olduğundan, kötü amaçlı yazılım analistlerinin onu incelemesini engelleyebilir. Dahası, araştırmacılara göre kötü amaçlı yazılım son derece keskindir. İlk olarak, kullanıcının çalışma zamanında root veya root olup olmadığını belirler ve hassas kaynakların şifresini çözmek için farklı hesaplardan çeşitli yürütme ilkelerini kullanır. Süreç koruma ve şifreleme taktiklerini ve kalıcılığı sürdürme tekniklerini kullanarak, C&C sunucusuyla iletişim kurmak için tek bir örnek kullanır. Komutları yürütmek için sunucudan gelen sinyali bekler. Kriptografik algoritmaların bir kombinasyonuna dayanır ve cihaz meta verilerini toplamak, hassas verileri çalmak, dosyayla ilgili işlemleri gerçekleştirmek ve C&C sunucusundan eklentileri indirmek / yürütmek için 12 işlevi destekler. Gizlilik göz önünde bulundurularak tasarlanmış olmasına rağmen, kampanyanın gerçek amacı henüz net değil. C&C sunucu alanlarından bazıları Aralık 2015’te kaydedilmişti. Araştırmacılar, RotaJakiro ve Torii botnet arasındaki benzerlikleri tespit ettiler . Her iki kötü amaçlı yazılım karması, şifreleme algoritmalarını kullanmaktan hassas kaynakları gizlemeye kadar tersine mühendislik perspektifinden benzer stilleri, işlevlerinin çoğu aynıdır.

Hakkında Oğuzhan ÇALIŞKAN

Siber Güvenlik Araştırmacısı

Cevapla

E-posta adresiniz yayınlanmayacak. Required fields are marked *

*