Facefish 後門

Facefish 後門說明

已檢測到危害易受攻擊的 Linux 系統的後門威脅。該威脅被奇虎 360 NETLAB 的研究人員命名為 Facefish,能夠收集包括用戶登錄憑據和設備信息在內的信息,以及執行從其命令和控制(C2、C&C)服務器接收到的任意命令。 Facefish 由兩個不同的模塊組成,它們的任務是在被攻破的系統上執行不同的威脅活動——一個 dropper 和一個 rootkit。

Dropper 模塊詳細信息

Facefish 的 dropper 部分負責確定受感染設備上的運行時環境。之後,它會繼續解密帶有C2服務器地址的配置文件。 dropper 還負責配置 Rootkit 模塊。最後,它將通過將 rootkit 注入 sshd(安全外殼服務器)進程來執行它。

強大的Rootkit

一般而言,Rootkit 威脅具有令人難以置信的威脅,並且由於其特定特徵而難以處理。該惡意軟件深入目標設備,並將自身置於設備操作系統的核心。這允許惡意軟件威脅達到更高的權限,同時變得極其難以捉摸和難以檢測。特別是 Facefish rootkit,在 Ring 3 層工作。它使用 LD_PRELOAD 技術加載。一旦建立,威脅就可以通過利用 ssh/sshd 相關功能竊取用戶憑據。 rootkit 還具有某些後門功能。

C2服務器通信

Facefish 在與其命令和控制服務器交換數據時採用了複雜的通信過程。威脅使用以 0x2xx 開頭的指令交換公鑰,而所有 C2 通信都使用 BlowFish 密碼(惡意軟件的名稱由此而來)進行加密。然後,威脅參與者可以根據其特定目標向惡意軟件發送不同的命令。可以指示 FaceFish 開始收集數據,包括被盜憑據、“uname”命令的詳細信息和主機信息。此外,該威脅還會識別用於運行反向 shell、執行任意系統命令以及發送 bash 執行結果的命令。

應該指出的是,到目前為止,信息安全研究人員還無法查明 FaceFish 黑客濫用的確切漏洞或利用來破壞目標 Linux 設備。