最近研究人員發(fā)現(xiàn)，一種具有后門功能的 Linux 惡意軟件已存在多年時(shí)間，一直不為人所知，利用這個(gè)惡意軟件使攻擊者能夠從被攻擊的設(shè)備中獲取和傳送敏感信息。

[[397053]]

該惡意軟件被奇虎 360 的網(wǎng)絡(luò)安全研究實(shí)驗(yàn)室(360 Netlab)的研究人員稱為 RotaJakiro，盡管在 2018 年就首次上傳了一個(gè)樣本，但如今仍未被 VirusTotal 反惡意軟件引擎檢測(cè)到。

RotaJakiro 被設(shè)計(jì)成盡可能隱蔽地運(yùn)行，使用 ZLIB 壓縮和 AES、XOR、ROTATE 加密方法對(duì)其通信通道進(jìn)行加密。除此之外，它還盡力阻止惡意軟件分析師對(duì)其進(jìn)行剖析，因?yàn)?360 Netlab 的 BotMon 系統(tǒng)發(fā)現(xiàn)樣本中的資源信息還采用了 AES 算法進(jìn)行加密。

研究人員表示："在功能層面上，RotaJakiro 首先在運(yùn)行時(shí)會(huì)確定用戶是 root 還是非 root，不同賬戶有不同的執(zhí)行策略，然后使用AES&ROTATE對(duì)相關(guān)敏感資源進(jìn)行解密，用于后續(xù)的持久化、進(jìn)程守護(hù)和單實(shí)例使用，最后與 C2 建立通信，等待執(zhí)行 C2 發(fā)出的命令"。

攻擊者可以使用 RotaJakiro 來竊取系統(tǒng)信息和敏感數(shù)據(jù)、管理插件和文件，并在被攻擊的 64 位 Linux 設(shè)備上執(zhí)行各種插件。

但是，由于涉及到了被感染系統(tǒng)上部署的插件時(shí)缺乏可見性，因此研究人員尚未發(fā)現(xiàn)惡意軟件創(chuàng)建者對(duì)其惡意工具的真正意圖。

RotaJakiro 總共支持 12 個(gè)功能，其中三個(gè)與特定插件的執(zhí)行有關(guān)。不幸的是，我們對(duì)這些插件沒有可見性，因此不知道它的真正目的。

自 2018 年第一個(gè) RotaJakiro 樣本登陸 VirusTotal 以來，研究人員發(fā)現(xiàn)在 2018 年 5 月至 2021 年 1 月期間上傳了四個(gè)不同的樣本，而所有這些樣本的檢測(cè)率都是零。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：研究人員發(fā)現(xiàn)存在多年的 Linux 惡意軟件，可竊取用戶敏感信息

本文地址：https://www.oschina.net/news/139710/new-linux-malware-for-years