Facefish achterdeur

Er is een backdoor-dreiging gedetecteerd die kwetsbare Linux-systemen in gevaar brengt. De dreiging, door de onderzoekers van Qihoo 360 NETLAB genaamd Facefish, is in staat om informatie te verzamelen, waaronder inloggegevens van gebruikers en apparaatinformatie, en om willekeurige opdrachten uit te voeren die zijn ontvangen van de Command-and-Control (C2, C&C)-server. Facefish bestaat uit twee verschillende modules die zijn belast met het uitvoeren van verschillende bedreigende activiteiten op het geschonden systeem - een druppelaar en een rootkit.

Details druppelaarmodule

Het dropper-gedeelte van Facefish is verantwoordelijk voor het bepalen van de runtime-omgeving op het geïnfecteerde apparaat. Daarna gaat het verder met het decoderen van het configuratiebestand met het adres van de C2-server. De dropper is ook verantwoordelijk voor het configureren van de Rootkit-module. Ten slotte zal het de rootkit uitvoeren door het in het sshd-proces (secure shell server) te injecteren.

Krachtige rootkit

Rootkit-bedreigingen zijn over het algemeen ongelooflijk bedreigend en moeilijk te bestrijden vanwege hun specifieke kenmerken. Deze malware graaft diep in het doelapparaat en plaatst zichzelf in de kern van het besturingssysteem van het apparaat. Hierdoor kunnen de malwarebedreigingen verhoogde privileges bereiken terwijl ze extreem ongrijpbaar en moeilijk te detecteren worden. Vooral de Facefish-rootkit werkt op de Ring 3-laag. Het wordt geladen met behulp van de LD_PRELOAD-techniek. Eenmaal vastgesteld, kan de dreiging gebruikersgegevens stelen door gebruik te maken van ssh/sshd-gerelateerde functies. De rootkit beschikt ook over bepaalde backdoor-mogelijkheden.

C2-servercommunicatie

Facefish maakt gebruik van een complex communicatieproces als het gaat om het uitwisselen van gegevens met zijn Command-and-Control-server. De dreiging wisselt openbare sleutels uit met behulp van instructies die beginnen met 0x2xx, terwijl alle C2-communicatie wordt versleuteld met het BlowFish-cijfer (vandaar de naam van de malware). De dreigingsactor kan vervolgens verschillende opdrachten naar de malware sturen op basis van hun specifieke doelen. FaceFish kan worden geïnstrueerd om te beginnen met het verzamelen van gegevens, waaronder gestolen inloggegevens, details van de 'uname'-opdracht en hostinformatie. Bovendien herkent de dreiging ook opdrachten voor het uitvoeren van een omgekeerde shell, het uitvoeren van willekeurige systeemopdrachten en het verzenden van de resultaten van bash-uitvoering.

Opgemerkt moet worden dat infosec-onderzoekers tot nu toe niet in staat zijn geweest om de exacte kwetsbaarheid of exploit te lokaliseren die door de FaceFish-hackers is misbruikt om de beoogde Linux-apparaten te doorbreken.