Výskumníci varujú pred linuxovými rootkitmi Facefish Backdoor

Výskumníci v oblasti kybernetickej bezpečnosti odhalili nový program backdoor schopný ukradnúť prihlasovacie údaje používateľa, informácie o zariadení a vykonávať ľubovoľné príkazy v systémoch Linux.

Malware dropper bol nazvaný “Facefish“ od tímu Qihoo 360 NETLAB vďaka jeho schopnostiam dodávať rôzne rootkity v rôznych časoch a použitiu šifry Blowfish na šifrovanie komunikácie so serverom kontrolovaným útočníkom.

„Facefish pozostáva z 2 časti, Dropper a Rootkit a jeho hlavnú funkciu určuje modul Rootkit, ktorý pracuje na Ringu 3 vrstva a načítava sa pomocou funkcie LD_PRELOAD na odcudzenie prihlasovacích údajov používateľa pripojením funkcií súvisiacich s programom ssh/sshd a podporuje aj niektoré funkcie zadných vrátok,“ uviedli vedci.

Výskum NETLAB stavia na predchádzajúcej analýze publikovanej Juniper Networks 26. apríla, ktorá dokumentovala reťaz útokov zameraných na Control Web Panel (CWP, predtým CentOS Web Panel) na vloženie implantátu SSH s možnosťou exfiltrácie údajov.

Facefish prechádza viacstupňovým infekčným procesom, ktorý sa začína injekciou príkazu proti CWP na získanie kvapkadla (“sshins”) zo vzdialeného servera, ktorý potom uvoľní rootkit, ktorý v konečnom dôsledku prevezme zodpovednosť za zhromažďovanie a prenos citlivých informácií späť na server. server okrem čakania na ďalšie pokyny vydané serverom príkazov a riadenia (C2).

Zatiaľ čo presná zraniteľnosť, ktorú útočník zneužil na počiatočné ohrozenie, zostáva nejasná, Juniper poznamenal, že CWP trápia desiatky bezpečnostných problémov, pričom pridanie „úmyselného šifrovania a zahmlievania“ zdrojového kódu spôsobilo, že je „ťažké zistiť, ktoré verzie CWP sú alebo zostanú zraniteľní voči tomuto útoku.”

Pokiaľ ide o kvapkadlo, prichádza so svojou vlastnou sadou úloh, medzi ktoré patrí zisťovanie runtime prostredia, dešifrovanie konfiguračného súboru na získanie informácií C2, konfigurácia rootkitu a spustenie rootkitu jeho vložením do procesu zabezpečeného servera shell (sshd ).

Rootkity sú obzvlášť nebezpečné, pretože umožňujú útočníkom získať zvýšené privilégiá v systéme, čo im umožňuje zasahovať do základných operácií vykonávaných základným operačným systémom. Táto schopnosť rootkitov maskovať sa do štruktúry operačného systému dáva útočníkom vysokú úroveň utajenia a vyhýbania sa.

Facefish tiež využíva komplexný komunikačný protokol a šifrovací algoritmus, ktorý používa inštrukcie začínajúce 0x2XX na výmenu verejných kľúčov a BlowFish na šifrovanie komunikačných dát so serverom C2. Niektoré z príkazov C2 odoslaných serverom sú nasledovné –

  • 0x300 – Nahlásiť ukradnuté informácie o poverení
  • 0x301 – Zhromaždite podrobnosti príkazu “uname”.
  • 0x302 – Spustite reverzný shell
  • 0x310 – Vykonajte ľubovoľný systémový príkaz
  • 0x311 – Odoslať výsledok vykonania bash
  • 0x312 – Nahlásiť informácie o hostiteľovi

Zistenia NETLAB pochádzajú z analýzy vzorového súboru ELF, ktorý zistil vo februári 2021. Ďalšie indikátory kompromitácie súvisiace s malvérom sú dostupné tu.