Forscher warnen vor Facefish-Backdoor, die Linux-Rootkits verbreitet

Cyber Security News

Cybersecurity-Forscher haben ein neues Backdoor-Programm aufgedeckt, das in der Lage ist, Benutzeranmeldedaten und Geräteinformationen zu stehlen und beliebige Befehle auf Linux-Systemen auszuführen.

Der Malware-Dropper wurde vom Qihoo 360 NETLAB-Team auf den Namen “Facefish” getauft, da er in der Lage ist, verschiedene Rootkits zu unterschiedlichen Zeiten auszuliefern und die Kommunikation mit dem vom Angreifer kontrollierten Server mittels Blowfish-Chiffre zu verschlüsseln.

“Facefish besteht aus zwei Teilen, Dropper und Rootkit, und seine Hauptfunktion wird durch das Rootkit-Modul bestimmt, das auf der Ring-3-Schicht arbeitet und mit der LD_PRELOAD-Funktion geladen wird, um Benutzeranmeldeinformationen zu stehlen, indem ssh/sshd-Programm-bezogene Funktionen eingehakt werden, und es unterstützt auch einige Backdoor-Funktionen”, so die Forscher.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Die NETLAB-Untersuchung baut auf einer früheren Analyse auf, die von Juniper Networks am 26. April veröffentlicht wurde. Diese dokumentierte eine Angriffskette, die auf das Control Web Panel (CWP, ehemals CentOS Web Panel) abzielt, um ein SSH-Implantat mit Datenexfiltrationsfunktionen einzuschleusen.

Facefish durchläuft einen mehrstufigen Infektionsprozess, der mit einer Befehlsinjektion gegen das CWP beginnt, um einen Dropper (“sshins”) von einem entfernten Server abzurufen, der dann ein Rootkit freisetzt, das schließlich die Aufgabe übernimmt, sensible Informationen zu sammeln und zurück an den Server zu übertragen, zusätzlich zum Warten auf weitere Anweisungen, die vom Command-and-Control-Server (C2) erteilt werden.

[Blocked Image: https://thehackernews.com/images/-5Xeh9PJ1ha8/YLELfAoOSSI/AAAAAAAACrQ/iQNB9MQTwXE5mhoPBiDCMNPKsqEdeCJFQCLcBGAsYHQ/s728-e1000/linux-malware.jpg]

Der Dropper hat seinerseits eine Reihe von Aufgaben, vor allem das Erkennen der Laufzeitumgebung, das Entschlüsseln einer Konfigurationsdatei, um C2-Informationen zu erhalten, das Konfigurieren des Rootkits und das Starten des Rootkits durch Injizieren in den Secure Shell Server-Prozess (sshd).

Rootkits sind besonders gefährlich, da sie es Angreifern ermöglichen, erhöhte Privilegien im System zu erlangen, die es ihnen erlauben, in die vom zugrunde liegenden Betriebssystem durchgeführten Kernoperationen einzugreifen. Diese Fähigkeit von Rootkits, sich in der Struktur des Betriebssystems zu tarnen, gibt Angreifern ein hohes Maß an Tarnung und Umgehung.

Facefish verwendet außerdem ein komplexes Kommunikationsprotokoll und einen Verschlüsselungsalgorithmus, der Anweisungen verwendet, die mit 0x2XX beginnen, um öffentliche Schlüssel auszutauschen, sowie BlowFish zur Verschlüsselung der Kommunikationsdaten mit dem C2-Server. Einige der vom Server gesendeten C2-Befehle lauten wie folgt. 0x300 – Gestohlene Anmeldeinformationen melden 0x301 – Details zum Befehl “uname” sammeln 0x302 – Reverse-Shell ausführen 0x310 – Beliebigen Systembefehl ausführen 0x311 – Das Ergebnis der Bash-Ausführung senden 0x312 – Host-Informationen melden

Die Ergebnisse von NETLAB stammen aus einer Analyse einer ELF-Beispieldatei, die im Februar 2021 entdeckt wurde. Weitere Indikatoren für eine Kompromittierung der Malware können hier eingesehen werden.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com