Facefish bagdør

Facefish bagdør Beskrivelse

Der er opdaget en bagdørstrussel, der kompromitterer sårbare Linux-systemer. Udnævnt Facefish af forskerne ved Qihoo 360 NETLAB, er truslen i stand til at indsamle oplysninger inklusive brugerloginoplysninger og enhedsoplysninger samt udføre vilkårlige kommandoer modtaget fra sin Command-and-Control (C2, C&C) server. Facefish består af to forskellige moduler, der har til opgave at udføre forskellige truende aktiviteter på det brudte system - en dropper og et rootkit.

Dropper-moduloplysninger

Dropper-delen af Facefish er ansvarlig for at bestemme runtime-miljøet på den inficerede enhed. Derefter fortsætter den med at dekryptere konfigurationsfilen med adressen på C2-serveren. Dropperen er også ansvarlig for at konfigurere Rootkit-modulet. Endelig udfører den rootkit ved at injicere den i sshd-processen (sikker shell-server).

Kraftfuld rodkit

Rootkit-trusler truer generelt utroligt og svært at håndtere på grund af deres specifikke egenskaber. Denne malware graver sig dybt ned i den målrettede enhed og placerer sig i kernen i enhedens operativsystem. Dette gør det muligt for malware-trusler at nå forhøjede privilegier, mens de bliver ekstremt undvigende og svære at opdage. Facefish rootkit fungerer især i Ring 3-laget. Den indlæses ved hjælp af LD_PRELOAD-teknikken. Når den er etableret, kan truslen stjæle brugeroplysninger ved at udnytte ssh / sshd-relaterede funktioner. Rootkit har også visse bagdørfunktioner.

C2-serverkommunikation

Facefish anvender en kompleks kommunikationsproces, når det kommer til udveksling af data med sin Command-and-Control-server. Truslen udveksler offentlige nøgler ved hjælp af instruktioner, der starter med 0x2xx, mens al C2-kommunikation krypteres med BlowFish-krypteringen (deraf navnet på malware). Trusselsaktøren kan derefter sende forskellige kommandoer til malware i henhold til deres specifikke mål. FaceFish kan instrueres i at begynde at indsamle data, herunder stjålne legitimationsoplysninger, detaljer om kommandoen 'uname' og værtsinformation. Derudover genkender truslen også kommandoer til at køre en omvendt shell, udføre vilkårlige systemkommandoer og sende resultaterne af bash-udførelse.

Det skal bemærkes, at infosec-forskere hidtil ikke har været i stand til at lokalisere den nøjagtige sårbarhed eller udnytte misbrugt af FaceFish-hackere til at bryde de målrettede Linux-enheder.