【安全资讯】RotaJakiro：具有VirusTotal零检测功能的Linux后门

近日，研究人员披露一个具有3年VirusTotal（VT）零检测记录的后门程序，研究人员将其命名为RotaJakiro。RotaJakiro只针对Linux X64系统，旨在从受感染的设备中收集敏感信息。

2021年3月25日，研究人员发现具有VT零检测的可疑ELF文件，通过该样本发现了相同家族的其他4个样本，这些样本在VT上均为0 检测，最早的样本发现时间是在2018年。

VirusTotal的反恶意软件引擎曾在2018年首次上传过该后门，但并未被VirusTotal的反恶意软件引擎检测到。RotaJakiro使用多种加密算法隐藏痕迹，包括使用AES，XOR，ROTATE加密和ZLIB压缩算法来加密通信。此外，研究人员发现该后门中的资源数据使用AES算法加密，以阻止恶意软件分析人员对其进行剖析。  

RotaJakiro总共支持12个功能命令，其中三个与特定插件的执行有关。目前，无法看到这些插件，因此不知道其真正功能和目的。

在功能层面来说，RotaJakiro运行时首先会判断用户是root用户还是非root用户，并针对不同帐户使用不同的执行策略，然后使用AES＆ROTATE解密出相关敏感资源，最后与C2建立通信，等待执行C2下发的指令。

RotaJakiro与Torii僵尸网络的关系

Torii僵尸网络与RotaJakiro有几点相似之处：

1.两种恶意软件重复使用了许多相同的命令；

2.在构造流量的过程中使用了大量常数，并且构造方式非常接近。

3.使用加密算法隐藏敏感资源，都实现了相当老派的持久化、结构化的网络流量。

基于以上考量，研究人员认为RotaJakiro和Torii有一定的联系。