Бэкдор Facefish

Обнаружена угроза бэкдора, компрометирующая уязвимые системы Linux. Эта угроза, названная исследователями Qihoo 360 NETLAB Facefish, способна собирать информацию, включая учетные данные пользователя и информацию об устройстве, а также выполнять произвольные команды, полученные от ее сервера Command-and-Control (C2, C&C). Facefish состоит из двух разных модулей, которым поручено выполнять различные угрожающие действия в взломанной системе - дроппера и руткита.

Детали модуля капельницы

Дроппер Facefish отвечает за определение среды выполнения на зараженном устройстве. После этого он приступит к расшифровке файла конфигурации, содержащего адрес сервера C2. Дроппер также отвечает за настройку модуля Rootkit. Наконец, он выполнит руткит, внедрив его в процесс sshd (сервер защищенной оболочки).

Мощный руткит

Угрозы руткитов, как правило, невероятно опасны, и с ними трудно бороться из-за их специфических характеристик. Это вредоносное ПО проникает глубоко в целевое устройство и становится ядром операционной системы устройства. Это позволяет вредоносным программам получать повышенные привилегии, становясь при этом крайне неуловимыми и трудными для обнаружения. В частности, руткит Facefish работает на уровне Ring 3. Он загружается с использованием метода LD_PRELOAD. После создания угроза может украсть учетные данные пользователя, используя функции, связанные с ssh / sshd. Руткит также обладает определенными возможностями бэкдора.

Связь с сервером C2

Facefish использует сложный процесс связи, когда дело доходит до обмена данными со своим сервером Command-and-Control. Угроза обменивается открытыми ключами с помощью инструкций, которые начинаются с 0x2xx, в то время как все коммуникации C2 шифруются с помощью шифра BlowFish (отсюда и название вредоносной программы). Затем злоумышленник может отправлять вредоносному ПО различные команды в соответствии с их конкретными целями. FaceFish может быть проинструктирован о начале сбора данных, включая украденные учетные данные, детали команды uname и информацию о хосте. Кроме того, угроза также распознает команды для запуска обратной оболочки, выполнения произвольных системных команд и отправки результатов выполнения bash.

Следует отметить, что до сих пор исследователям информационной безопасности не удалось определить точную уязвимость или эксплойт, использованный хакерами FaceFish для взлома целевых устройств Linux.