中国安全企业360旗下的网络安全研究实验室Netlab在本周指出,有一木马程序RotaJakiro潜伏在Linux系统中至少长达3年。
根据Netlab的分析,RotaJakiro为一针对Linux x64系统的木马程序,它使用轮替加密,而且在执行后对于Root或非Root账户有不同的行为,犹如Dota游戏中的双头龙(Jakiro),使得该团队将它命名为RotaJakiro。
RotaJakiro不仅以AES来加密恶意程序内的信息,其与命令&控制(C&C)服务器的通信,更采用了AES、XOR、ROTATE与ZLIB压缩等加密算法,此外,RotaJakiro支持12种指令,其中有3种是执行特定的插件程序,Netlab团队目前尚未得知RotaJakiro的目的,推测其指令可能具备回应设备信息、窃取机密信息、查询/下载/删除文件,以及执行特定插件程序等功能。
Netlab团队关注到RotaJakiro的C&C服务器,发现这些服务器存在的年代更久,在他们取得的4个RotaJakiro样本中,最早的一个是在2018年创立,而其C&C服务器最早创建的日期,却是在2015年。
图片来源/Netlab
此外,该团队也相信RotaJakiro与Torii傀儡网络有关,因为它们使用了很多一样的命令,构建的方式也非常的类似,同样利用各种加密算法来掩饰行踪与来源,也都采用老派的长驻与结构化的流量手法。
安全企业Avast曾在2018年披露Torii的存在,指称它是个复杂的IoT傀儡网络,可入侵包括MIPS、Arm、x86、x64、PowerPC与SuperH等架构的设备,且相信它至少自2017年便开始活动。