Facefish Backdoor

Facefish Backdoor Beskrivning

Ett bakdörrhot har upptäckts som äventyrar sårbara Linux-system. Namnet Facefish av forskarna på Qihoo 360 NETLAB, hotet kan samla in information inklusive användarinloggningsuppgifter och enhetsinformation, såväl som att utföra godtyckliga kommandon från sin Command-and-Control (C2, C&C) -server. Facefish består av två olika moduler som har till uppgift att utföra distinkta hotfulla aktiviteter på det brutna systemet - en dropper och en rootkit.

Dropper Module Detaljer

Droppdelen av Facefish ansvarar för att bestämma körningsmiljön på den infekterade enheten. Därefter fortsätter den att dekryptera konfigurationsfilen med adressen till C2-servern. Dropparen är också ansvarig för att konfigurera Rootkit-modulen. Slutligen kommer den att köra rootkit genom att injicera den i sshd-processen (säker shell-server).

Kraftfull Rootkit

Rootkit-hot hotar i allmänhet otroligt och svårt att hantera på grund av deras specifika egenskaper. Den här skadliga programvaran gräver sig djupt in i den riktade enheten och placerar sig i kärnan i enhetens operativsystem. Detta gör att hot mot skadlig programvara kan nå förhöjda privilegier samtidigt som de blir extremt svårfångade och svåra att upptäcka. Facefish rootkit fungerar särskilt i Ring 3-lagret. Den laddas med LD_PRELOAD-tekniken. När det väl är etablerat kan hotet stjäla användaruppgifter genom att utnyttja ssh / sshd-relaterade funktioner. Rotsatsen har också vissa bakdörrfunktioner.

C2-serverkommunikation

Facefish använder en komplex kommunikationsprocess när det gäller att utbyta data med sin Command-and-Control-server. Hotet utbyter offentliga nycklar genom att använda instruktioner som börjar med 0x2xx, medan all C2-kommunikation krypteras med BlowFish-krypteringen (därav namnet på skadlig programvara). Hotaktören kan sedan skicka olika kommandon till skadlig programvara enligt deras specifika mål. FaceFish kan instrueras att börja samla in data inklusive stulna referenser, information om kommandot 'uname' och värdinformation. Dessutom känner hotet igen kommandon för att köra ett omvänd skal, köra godtyckliga systemkommandon och skicka resultaten av bash-körning.

Det bör noteras att infosec-forskare hittills inte har kunnat identifiera den exakta sårbarheten eller utnyttja missbruk av FaceFish-hackare för att bryta mot riktade Linux-enheter.