最近研究人員發現，一種具有后門功能的 Linux 惡意軟件已存在多年時間，一直不為人所知，利用這個惡意軟件使攻擊者能夠從被攻擊的設備中獲取和傳送敏感信息。

[[397053]]

該惡意軟件被奇虎 360 的網絡安全研究實驗室(360 Netlab)的研究人員稱為 RotaJakiro，盡管在 2018 年就首次上傳了一個樣本，但如今仍未被 VirusTotal 反惡意軟件引擎檢測到。

RotaJakiro 被設計成盡可能隱蔽地運行，使用 ZLIB 壓縮和 AES、XOR、ROTATE 加密方法對其通信通道進行加密。除此之外，它還盡力阻止惡意軟件分析師對其進行剖析，因為 360 Netlab 的 BotMon 系統發現樣本中的資源信息還采用了 AES 算法進行加密。

研究人員表示："在功能層面上，RotaJakiro 首先在運行時會確定用戶是 root 還是非 root，不同賬戶有不同的執行策略，然后使用AES&ROTATE對相關敏感資源進行解密，用于后續的持久化、進程守護和單實例使用，最后與 C2 建立通信，等待執行 C2 發出的命令"。

攻擊者可以使用 RotaJakiro 來竊取系統信息和敏感數據、管理插件和文件，并在被攻擊的 64 位 Linux 設備上執行各種插件。

但是，由于涉及到了被感染系統上部署的插件時缺乏可見性，因此研究人員尚未發現惡意軟件創建者對其惡意工具的真正意圖。

RotaJakiro 總共支持 12 個功能，其中三個與特定插件的執行有關。不幸的是，我們對這些插件沒有可見性，因此不知道它的真正目的。

自 2018 年第一個 RotaJakiro 樣本登陸 VirusTotal 以來，研究人員發現在 2018 年 5 月至 2021 年 1 月期間上傳了四個不同的樣本，而所有這些樣本的檢測率都是零。

本文轉自OSCHINA

本文標題：研究人員發現存在多年的 Linux 惡意軟件，可竊取用戶敏感信息

本文地址：https://www.oschina.net/news/139710/new-linux-malware-for-years