Facefish 后门

Facefish 后门说明

已检测到危害易受攻击的 Linux 系统的后门威胁。该威胁被奇虎 360 NETLAB 的研究人员命名为 Facefish,能够收集包括用户登录凭据和设备信息在内的信息,以及执行从其命令和控制(C2、C&C)服务器接收到的任意命令。 Facefish 由两个不同的模块组成,它们的任务是在被攻破的系统上执行不同的威胁活动——一个 dropper 和一个 rootkit。

Dropper 模块详细信息

Facefish 的 dropper 部分负责确定受感染设备上的运行时环境。之后,它会继续解密带有C2服务器地址的配置文件。 dropper 还负责配置 Rootkit 模块。最后,它将通过将 rootkit 注入 sshd(安全外壳服务器)进程来执行它。

强大的Rootkit

一般而言,Rootkit 威胁具有令人难以置信的威胁,并且由于其特定特征而难以处理。该恶意软件深入目标设备,并将自身置于设备操作系统的核心。这允许恶意软件威胁达到更高的权限,同时变得极其难以捉摸和难以检测。特别是 Facefish rootkit,在 Ring 3 层工作。它使用 LD_PRELOAD 技术加载。一旦建立,威胁就可以通过利用 ssh/sshd 相关功能窃取用户凭据。 rootkit 还具有某些后门功能。

C2服务器通信

Facefish 在与其命令和控制服务器交换数据时采用了复杂的通信过程。威胁使用以 0x2xx 开头的指令交换公钥,而所有 C2 通信都使用 BlowFish 密码(恶意软件的名称由此而来)进行加密。然后,威胁参与者可以根据其特定目标向恶意软件发送不同的命令。可以指示 FaceFish 开始收集数据,包括被盗凭据、“uname”命令的详细信息和主机信息。此外,该威胁还会识别用于运行反向 shell、执行任意系统命令以及发送 bash 执行结果的命令。

应该指出的是,到目前为止,信息安全研究人员还无法查明 FaceFish 黑客滥用的确切漏洞或利用来破坏目标 Linux 设备。