奇虎360網絡安全研究實驗室（360 Netlab）的研究人員，剛剛介紹了被稱作RotaJakiro的Linux後門惡意軟件的諸多細節。儘管VirusTotal反惡意軟件引擎在2018年就首次發現了該惡意軟件，但當時並沒有深入到了解它的後門。而在隱匿自身的3年多時間裡，RotaJakiro從受感染的設備上收集和洩露了許多敏感信息。

（來自：360 Netlab）

為了盡可能暗中運行，RotaJakiro 還利用了ZLIB 壓縮和AES / XOR / ROTATE 來加密通信信道，並且竭力阻止惡意軟件分析師對其進行剖析。

360 Netlab 指出，在該實驗室的BotMon 監測系統發現的樣本中，RotaJakiro 也對自身資源信息套上了AES 加密。

在功能性上，RotaJakiro 會先確定當前用戶是否具有root 權限，並針對不同賬戶使用對應的執行策略。

而後利用AES & Rotate 解密相關敏感資源，以利於保護後續長期存在的進程和實例，最終與命令與控制服務器建立通信、並等待執行命令。

據悉，RotaJakiro 總共支持12 項功能，其中三個與特定插件的執行有關。攻擊者可利用RotaJakiro 洩漏系統信息和敏感數據、管理插件和文件、以及在受感染的64 位Linux 設備上執行各種插件。

自首個RotaJakiro 樣本於2018 年首次被VirusTotal 收錄以來，360 Netlab 已於2018 年5 月~ 2021 年1 月之間發現了四個不同的樣本。

遺憾的是，由於在被感染系統上部署插件時缺乏可見性，360 Netlab 尚未發現惡意軟件創建者到底隱匿了這款後門工具的哪些真實意圖。

RotaJakiro 命令與後台控制（C&C）服務器的域名，註冊於6 年前的2015 年12 月，此外360 Netlab 發現了指向Torii IoT 殭屍網絡的連接。

該鏈接最初由惡意軟件專家Vesselin Bontchev 發現，而後Avast 威脅情報團隊於2018 年9 月對其進行了分析。

可知兩款惡意軟件會在部署到受感染的系統後使用相同的命令、相似的構造方法、以及開發者使用的兩個常量。

功能方面，RotaJakiro 和Torii 也有諸多相似之處，比如使用加密算法隱匿敏感資源流量、以及部署了一套潛伏得相當持久的結構化網絡。