Linux恶意软件RotaJakiro被发现，攻击者可窃取系统信息和敏感数据

　　最近研究人员发现，一种具有后门功能的?Linux?恶意软件已存在多年时间，一直不为人所知，利用这个恶意软件使攻击者能够从被攻击的设备中获取和传送敏感信息。

　　该恶意软件被奇虎?360?的网络安全研究实验室(360?Netlab)的研究人员称为?RotaJakiro，尽管在?2018?年就首次上传了一个样本，但如今仍未被?VirusTotal?反恶意软件引擎检测到。

　　RotaJakiro?被设计成尽可能隐蔽地运行，使用?ZLIB?压缩和?AES、XOR、ROTATE?加密方法对其通信通道进行加密。除此之外，它还尽力阻止恶意软件分析师对其进行剖析，因为?360?Netlab?的?BotMon?系统发现样本中的资源信息还采用了?AES?算法进行加密。

　　研究人员表示："在功能层面上，RotaJakiro?首先在运行时会确定用户是?root?还是非?root，不同账户有不同的执行策略，然后使用AES&ROTATE对相关敏感资源进行解密，用于后续的持久化、进程守护和单实例使用，最后与?C2?建立通信，等待执行?C2?发出的命令"。

　　攻击者可以使用?RotaJakiro?来窃取系统信息和敏感数据、管理插件和文件，并在被攻击的?64?位?Linux?设备上执行各种插件。

　　但是，由于涉及到了被感染系统上部署的插件时缺乏可见性，因此研究人员尚未发现恶意软件创建者对其恶意工具的真正意图。

　　RotaJakiro?总共支持?12?个功能，其中三个与特定插件的执行有关。不幸的是，我们对这些插件没有可见性，因此不知道它的真正目的。

　　自?2018?年第一个?RotaJakiro?样本登陆?VirusTotal?以来，研究人员发现在?2018?年?5?月至?2021?年?1?月期间上传了四个不同的样本，而所有这些样本的检测率都是零。