Facefish Backdoor

Descrição do Facefish Backdoor

Uma ameaça de backdoor foi detectada comprometendo sistemas Linux vulneráveis. Batizada de Facefish pelos pesquisadores da Qihoo 360 NETLAB, a ameaça é capaz de coletar informações, incluindo credenciais de login do usuário e informações do dispositivo, bem como executar comandos arbitrários recebidos de seu servidor de comando e controle (C2, C&C). O Facefish consiste em dois módulos diferentes com a tarefa de realizar atividades ameaçadoras distintas no sistema violado - um conta-gotas e um rootkit.

Detalhes do Módulo Dropper

A parte dropper do Facefish é responsável por determinar o ambiente de execução no dispositivo infectado. Posteriormente, ele continuará a descriptografar o arquivo de configuração com o endereço do servidor C2. O dropper também é responsável por configurar o módulo Rootkit. Finalmente, ele executará o rootkit injetando-o no processo sshd (servidor de shell seguro).

Um Rootkit Poderoso

Ameaças de rootkit, em geral, são incrivelmente ameaçadoras e difíceis de lidar devido às suas características específicas. Esse malware penetra profundamente no dispositivo de destino e se coloca no centro do sistema operacional do dispositivo. Isso permite que as ameaças de malware alcancem privilégios elevados, ao mesmo tempo que se tornam extremamente elusivas e difíceis de detectar. O rootkit Facefish, em particular, funciona na camada Ring 3. Ele é carregado usando a técnica LD_PRELOAD. Uma vez estabelecida, a ameaça pode roubar credenciais do usuário, explorando funções relacionadas ao ssh/sshd. O rootkit também possui certos recursos de backdoor.

Comunicação do Servidor C2

Facefish emprega um processo de comunicação complexo quando se trata de troca de dados com seu servidor de comando e controle. A ameaça troca chaves públicas usando instruções que começam com 0x2xx, enquanto toda a comunicação C2 é criptografada com a cifra BlowFish (daí o nome do malware). O ator da ameaça pode então enviar comandos diferentes para o malware de acordo com seus objetivos específicos. O FaceFish pode ser instruído a começar a coletar dados, incluindo credenciais roubadas, detalhes do comando 'uname' e informações do host. Além disso, a ameaça também reconhece comandos para executar um shell reverso, executar comandos arbitrários do sistema e enviar os resultados da execução do bash.

Deve-se notar que até agora os pesquisadores de Infosec não foram capazes de identificar a vulnerabilidade exata ou exploração abusada pelos hackers FaceFish para violar os dispositivos Linux visados.