linux木马网络行为分析,研究人员揪出潜伏在Linux系统中长达3年的木马程序

5312bbb629ff999bb2c2e7477ff12b65.png

中国安全企业360旗下的网络安全研究实验室Netlab在本周指出,有一木马程序RotaJakiro潜伏在Linux系统中至少长达3年。

根据Netlab的分析,RotaJakiro为一针对Linux x64系统的木马程序,它使用轮替加密,而且在执行后对于Root或非Root账户有不同的行为,犹如Dota游戏中的双头龙(Jakiro),使得该团队将它命名为RotaJakiro。

RotaJakiro不仅以AES来加密恶意程序内的信息,其与命令&控制(C&C)服务器的通信,更采用了AES、XOR、ROTATE与ZLIB压缩等加密算法,此外,RotaJakiro支持12种指令,其中有3种是执行特定的插件程序,Netlab团队目前尚未得知RotaJakiro的目的,推测其指令可能具备回应设备信息、窃取机密信息、查询/下载/删除文件,以及执行特定插件程序等功能。

Netlab团队关注到RotaJakiro的C&C服务器,发现这些服务器存在的年代更久,在他们取得的4个RotaJakiro样本中,最早的一个是在2018年创立,而其C&C服务器最早创建的日期,却是在2015年。

9cd84be324f08730241ed4fea65a23ee.png

图片来源/Netlab

此外,该团队也相信RotaJakiro与Torii傀儡网络有关,因为它们使用了很多一样的命令,构建的方式也非常的类似,同样利用各种加密算法来掩饰行踪与来源,也都采用老派的长驻与结构化的流量手法。

安全企业Avast曾在2018年披露Torii的存在,指称它是个复杂的IoT傀儡网络,可入侵包括MIPS、Arm、x86、x64、PowerPC与SuperH等架构的设备,且相信它至少自2017年便开始活动。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值