Facefish Backdoor

Güvenlik açığı bulunan Linux sistemlerini tehlikeye atan bir arka kapı tehdidi algılandı. Qihoo 360 NETLAB'daki araştırmacılar tarafından Facefish olarak adlandırılan tehdit, kullanıcı oturum açma kimlik bilgileri ve cihaz bilgileri dahil olmak üzere bilgi toplama ve Komuta ve Kontrol (C2, C&C) sunucusundan alınan keyfi komutları yürütme yeteneğine sahiptir. Facefish, ihlal edilen sistemde farklı tehdit edici faaliyetler gerçekleştirmekle görevli iki farklı modülden oluşur - bir damlalık ve bir kök kullanıcı seti.

Damlalık Modülü Detayları

Facefish'in damlalık kısmı, virüs bulaşmış cihazdaki çalışma zamanı ortamının belirlenmesinden sorumludur. Daha sonra, C2 sunucusunun adresini taşıyan yapılandırma dosyasının şifresini çözmeye devam edecektir. Dropper, Rootkit modülünün yapılandırılmasından da sorumludur. Son olarak, rootkit'i sshd (güvenli kabuk sunucusu) işlemine enjekte ederek çalıştıracaktır.

Güçlü Rootkit

Rootkit tehditleri, genel olarak, belirli özellikleri nedeniyle inanılmaz derecede tehditkar ve başa çıkması zor. Bu kötü amaçlı yazılım, hedeflenen cihazın derinliklerine girer ve kendisini cihazın işletim sisteminin merkezine yerleştirir. Bu, kötü amaçlı yazılım tehditlerinin yüksek ayrıcalıklara erişmesine ve son derece zor ve tespit edilmesi zor hale gelmesine olanak tanır. Özellikle Facefish rootkit, Ring 3 katmanında çalışır. LD_PRELOAD tekniği kullanılarak yüklenir. Tehdit oluşturulduktan sonra, ssh/sshd ile ilgili işlevlerden yararlanarak kullanıcı kimlik bilgilerini çalabilir. Rootkit ayrıca belirli arka kapı yeteneklerine sahiptir.

C2 Sunucu İletişimi

Facefish, Komuta ve Kontrol sunucusuyla veri alışverişi söz konusu olduğunda karmaşık bir iletişim süreci kullanır. Tehdit, 0x2xx ile başlayan talimatları kullanarak ortak anahtarları değiştirirken, tüm C2 iletişimi BlowFish şifresiyle (kötü amaçlı yazılımın adı buradan gelir) şifrelenir. Tehdit aktörü daha sonra kötü amaçlı yazılıma belirli hedeflerine göre farklı komutlar gönderebilir. FaceFish'e çalınan kimlik bilgileri, 'uname' komutunun ayrıntıları ve ana bilgisayar bilgileri dahil olmak üzere verileri toplamaya başlaması talimatı verilebilir. Ayrıca tehdit, bir ters kabuk çalıştırma, rastgele sistem komutlarını yürütme ve bash yürütme sonuçlarını gönderme komutlarını da tanır.

Şu ana kadar infosec araştırmacılarının, FaceFish bilgisayar korsanları tarafından hedeflenen Linux cihazlarını ihlal etmek için kötüye kullanılan güvenlik açığını veya istismarı tam olarak belirleyemediği belirtilmelidir.