Facefish Backdoor

Facefish Backdoor विवरण

कमजोर Linux सिस्टम से समझौता करते हुए पिछले दरवाजे के खतरे का पता चला है। Qihoo 360 NETLAB के शोधकर्ताओं द्वारा फेसफिश नामित, खतरा उपयोगकर्ता लॉगिन क्रेडेंशियल और डिवाइस की जानकारी सहित जानकारी एकत्र करने में सक्षम है, साथ ही इसके कमांड-एंड-कंट्रोल (C2, C & C) सर्वर से प्राप्त मनमाने आदेशों को निष्पादित करने में सक्षम है। फेसफिश में दो अलग-अलग मॉड्यूल होते हैं जिन्हें भंग प्रणाली पर अलग-अलग खतरनाक गतिविधियों को करने का काम सौंपा जाता है - एक ड्रॉपर और एक रूटकिट।

ड्रॉपर मॉड्यूल विवरण

फेसफिश का ड्रॉपर हिस्सा संक्रमित डिवाइस पर रनटाइम के माहौल को निर्धारित करने के लिए जिम्मेदार होता है। बाद में, यह C2 सर्वर के पते वाली कॉन्फ़िगरेशन फ़ाइल को डिक्रिप्ट करने के लिए आगे बढ़ेगा। रूटकिट मॉड्यूल को कॉन्फ़िगर करने के लिए ड्रॉपर भी जिम्मेदार है। अंत में, यह रूटकिट को sshd (सिक्योर शेल सर्वर) प्रक्रिया में इंजेक्ट करके निष्पादित करेगा।

शक्तिशाली रूटकिट

रूटकिट खतरे, सामान्य रूप से, उनकी विशिष्ट विशेषताओं के कारण अविश्वसनीय रूप से और मुश्किल से निपटने की धमकी दे रहे हैं। यह मैलवेयर लक्षित डिवाइस में गहराई से प्रवेश करता है और खुद को डिवाइस के ऑपरेटिंग सिस्टम के मूल में रखता है। यह मैलवेयर के खतरों को अत्यंत मायावी और पता लगाने में कठिन होने के साथ-साथ उन्नत विशेषाधिकारों तक पहुंचने की अनुमति देता है। फेसफिश रूटकिट, विशेष रूप से, रिंग 3 लेयर पर काम करता है। इसे LD_PRELOAD तकनीक का उपयोग करके लोड किया जाता है। एक बार स्थापित होने के बाद, खतरा ssh/sshd संबंधित कार्यों का फायदा उठाकर उपयोगकर्ता की साख चुरा सकता है। रूटकिट में कुछ पिछले दरवाजे की क्षमताएं भी होती हैं।

C2 सर्वर संचार

जब अपने कमांड-एंड-कंट्रोल सर्वर के साथ डेटा का आदान-प्रदान करने की बात आती है तो फेसफिश एक जटिल संचार प्रक्रिया को नियोजित करता है। खतरा 0x2xx से शुरू होने वाले निर्देशों का उपयोग करके सार्वजनिक कुंजी का आदान-प्रदान करता है, जबकि सभी C2 संचार को ब्लोफिश सिफर (इसलिए मैलवेयर का नाम) के साथ एन्क्रिप्ट किया जा रहा है। खतरा अभिनेता तब अपने विशिष्ट लक्ष्यों के अनुसार मैलवेयर को अलग-अलग कमांड भेज सकता है। फेसफिश को निर्देश दिया जा सकता है कि वह चोरी की गई साख, 'अनाम' कमांड का विवरण और होस्ट जानकारी सहित डेटा एकत्र करना शुरू करे। इसके अलावा, खतरा रिवर्स शेल चलाने, मनमाने सिस्टम कमांड को निष्पादित करने और बैश निष्पादन के परिणाम भेजने के लिए कमांड को भी पहचानता है।

यह ध्यान दिया जाना चाहिए कि अब तक इन्फोसेक शोधकर्ता सटीक भेद्यता को इंगित करने में सक्षम नहीं हैं या लक्षित लिनक्स उपकरणों को भंग करने के लिए फेसफिश हैकर्स द्वारा दुरुपयोग किए गए शोषण का फायदा नहीं उठा पाए हैं।