Facefish Backdoor

È stata rilevata una minaccia backdoor che compromette i sistemi Linux vulnerabili. Chiamata Facefish dai ricercatori di Qihoo 360 NETLAB, la minaccia è in grado di raccogliere informazioni tra cui credenziali di accesso utente e informazioni sul dispositivo, nonché eseguire comandi arbitrari ricevuti dal suo server Command-and-Control (C2, C&C). Facefish è costituito da due diversi moduli incaricati di eseguire distinte attività minacciose sul sistema violato: un contagocce e un rootkit.

Dettagli del modulo contagocce

La parte contagocce di Facefish è responsabile della determinazione dell'ambiente di runtime sul dispositivo infetto. Successivamente, procederà alla decrittografia del file di configurazione contenente l'indirizzo del server C2. Il contagocce è anche responsabile della configurazione del modulo Rootkit. Infine, eseguirà il rootkit iniettandolo nel processo sshd (secure shell server).

Potente rootkit

Le minacce rootkit, in generale, sono incredibilmente minacciose e difficili da affrontare a causa delle loro caratteristiche specifiche. Questo malware penetra in profondità nel dispositivo preso di mira e si colloca al centro del sistema operativo del dispositivo. Ciò consente alle minacce malware di raggiungere privilegi elevati mentre diventano estremamente elusive e difficili da rilevare. Il rootkit Facefish, in particolare, funziona al livello Ring 3. Viene caricato utilizzando la tecnica LD_PRELOAD. Una volta stabilita, la minaccia può rubare le credenziali dell'utente sfruttando le funzioni relative a ssh/sshd. Il rootkit possiede anche alcune funzionalità backdoor.

Comunicazione server C2

Facefish utilizza un processo di comunicazione complesso quando si tratta di scambiare dati con il suo server Command-and-Control. La minaccia scambia le chiavi pubbliche utilizzando istruzioni che iniziano con 0x2xx, mentre tutte le comunicazioni C2 vengono crittografate con il cifrario BlowFish (da cui il nome del malware). L'autore della minaccia può quindi inviare comandi diversi al malware in base ai propri obiettivi specifici. FaceFish può essere istruito per iniziare a raccogliere dati tra cui credenziali rubate, dettagli del comando "uname" e informazioni sull'host. Inoltre, la minaccia riconosce anche i comandi per l'esecuzione di una shell inversa, l'esecuzione di comandi di sistema arbitrari e l'invio dei risultati dell'esecuzione di bash.

Va notato che finora i ricercatori di infosec non sono stati in grado di individuare l'esatta vulnerabilità o sfruttare abusato dagli hacker FaceFish per violare i dispositivi Linux mirati.