研究人员指出存在多年的 Linux 恶意软件，可窃取用户敏感信息

该恶意软件被奇虎 360 的网络安全研究实验室(360 Netlab)的研究人员称为 RotaJakiro，尽管在 2018 年就首次上传了一个样本，但如今仍未被 VirusTotal 反恶意软件引擎检测到。

RotaJakiro 被设计成尽可能隐蔽地运行，使用 ZLIB 压缩和 AES、XOR、ROTATE 加密方法对其通信通道进行加密。除此之外，它还尽力阻止恶意软件分析师对其进行剖析，因为 360 Netlab 的 BotMon 系统发现样本中的资源信息还采用了 AES 算法进行加密。

研究人员表示："在功能层面上，RotaJakiro 首先在运行时会确定用户是 root 还是非 root，不同账户有不同的执行策略，然后使用AES&ROTATE对相关敏感资源进行解密，用于后续的持久化、进程守护和单实例使用，最后与 C2 建立通信，等待执行 C2 发出的命令"。

攻击者可以使用 RotaJakiro 来窃取系统信息和敏感数据、管理插件和文件，并在被攻击的 64 位 Linux 设备上执行各种插件。

但是，由于涉及到了被感染系统上部署的插件时缺乏可见性，因此研究人员尚未发现恶意软件创建者对其恶意工具的真正意图。

RotaJakiro 总共支持 12 个功能，其中三个与特定插件的执行有关。不幸的是，我们对这些插件没有可见性，因此不知道它的真正目的。

自 2018 年第一个 RotaJakiro 样本登陆 VirusTotal 以来，研究人员发现在 2018 年 5 月至 2021 年 1 月期间上传了四个不同的样本，而所有这些样本的检测率都是零。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!