奇虎 360 网络安全研究实验室（360 Netlab）...

奇虎 360 网络安全研究实验室（360 Netlab）的研究人员，刚刚介绍了被称作 RotaJakiro 的 Linux 后门恶意软件的诸多细节。尽管 VirusTotal 反恶意软件引擎在 2018 年就首次发现了该恶意软件，但当时并没有深入到了解它的后门。而在隐匿自身的 3 年多时间里，RotaJakiro 从受感染的设备上收集和泄露了许多敏感信息。

为了尽可能暗中运行，RotaJakiro 还利用了 ZLIB 压缩和 AES / XOR / ROTATE 来加密通信信道，并且竭力阻止恶意软件分析师对其进行剖析。360 Netlab 指出，在该实验室的 BotMon 监测系统发现的样本中，RotaJakiro 也对自身资源信息套上了 AES 加密。在功能性上，RotaJakiro 会先确定当前用户是否具有 root 权限，并针对不同账户使用对应的执行策略。而后利用 AES & Rotate 解密相关敏感资源，以利于保护后续长期存在的进程和实例，最终与命令与控制服务器建立通信、并等待执行命令。

RotaJakiro 总共支持 12 项功能，其中三个与特定插件的执行有关。攻击者可利用 RotaJakiro 泄漏系统信息和敏感数据、管理插件和文件、以及在受感染的 64 位 Linux 设备上执行各种插件。自首个 RotaJakiro 样本于 2018 年首次被 VirusTotal 收录以来，360 Netlab 已于 2018 年 5 月 ~ 2021 年 1 月之间发现了四个不同的样本。

遗憾的是，由于在被感染系统上部署插件时缺乏可见性，360 Netlab 尚未发现恶意软件创建者到底隐匿了这款后门工具的哪些真实意图。

RotaJakiro 命令与后台控制（C&C）服务器的域名，注册于 6 年前的 2015 年 12 月，此外 360 Netlab 发现了指向 Torii IoT 僵尸网络的连接。该链接最初由恶意软件专家 Vesselin Bontchev 发现，而后 Avast 威胁情报团队于 2018 年 9 月对其进行了分析。

可知两款恶意软件会在部署到受感染的系统后使用相同的命令、相似的构造方法、以及开发者使用的两个常量。功能方面，RotaJakiro 和 Torii 也有诸多相似之处，比如使用加密算法隐匿敏感资源流量、以及部署了一套潜伏得相当持久的结构化网络。