Backdoor Facefish

Wykryto zagrożenie backdoorem zagrażające podatnym systemom Linux. Zagrożenie nazwane przez naukowców z Qihoo 360 NETLAB Facefish, jest w stanie zbierać informacje, w tym dane logowania użytkownika i informacje o urządzeniu, a także wykonywać dowolne polecenia otrzymane z serwera Command-and-Control (C2, C&C). Facefish składa się z dwóch różnych modułów, których zadaniem jest wykonywanie różnych działań zagrażających na naruszonym systemie - droppera i rootkita.

Szczegóły modułu zakraplacza

Część droppera Facefisha odpowiada za określenie środowiska uruchomieniowego na zainfekowanym urządzeniu. Następnie przystąpi do odszyfrowania pliku konfiguracyjnego zawierającego adres serwera C2. Dropper odpowiada również za konfigurację modułu Rootkit. Na koniec wykona rootkita, wstrzykując go do procesu sshd (secure shell server).

Potężny rootkit

Ogólnie rzecz biorąc, zagrożenia typu rootkit są niezwykle groźne i trudne do pokonania ze względu na ich specyficzne cechy. To złośliwe oprogramowanie zagłębia się głęboko w zaatakowane urządzenie i umieszcza się w samym sercu systemu operacyjnego urządzenia. Dzięki temu zagrożenia złośliwego oprogramowania mogą osiągnąć podwyższone przywileje, a jednocześnie stają się niezwykle nieuchwytne i trudne do wykrycia. W szczególności rootkit Facefish działa w warstwie Ring 3. Jest ładowany przy użyciu techniki LD_PRELOAD. Po ustanowieniu zagrożenie może wykraść dane uwierzytelniające użytkownika, wykorzystując funkcje związane z ssh/sshd. Rootkit posiada również pewne możliwości backdoora.

Komunikacja z serwerem C2

Facefish stosuje złożony proces komunikacji, jeśli chodzi o wymianę danych z serwerem Command-and-Control. Zagrożenie wymienia klucze publiczne za pomocą instrukcji zaczynających się od 0x2xx, podczas gdy cała komunikacja C2 jest szyfrowana szyfrem BlowFish (stąd nazwa szkodliwego oprogramowania). Aktor zagrożenia może następnie wysyłać szkodliwemu programowi różne polecenia zgodnie ze swoimi konkretnymi celami. FaceFish może zostać poinstruowany, aby rozpocząć zbieranie danych, w tym skradzionych poświadczeń, szczegółów polecenia „uname” i informacji o hoście. Ponadto zagrożenie rozpoznaje również polecenia uruchamiania odwróconej powłoki, wykonywania dowolnych poleceń systemowych i wysyłania wyników wykonania bash.

Należy zauważyć, że do tej pory badacze infosec nie byli w stanie wskazać dokładnej luki lub exploita wykorzystywanego przez hakerów FaceFish do włamywania się do docelowych urządzeń Linux.