Facefish Backdoor

Es wurde eine Backdoor-Bedrohung entdeckt, die anfällige Linux-Systeme gefährdet. Die Bedrohung, die von den Forschern von Qihoo 360 NETLAB Facefish genannt wird, ist in der Lage, Informationen wie Anmeldeinformationen und Geräteinformationen von Benutzern zu sammeln und beliebige Befehle auszuführen, die sie von ihrem Command-and-Control-Server (C2, C&C) erhielt. Facefish besteht aus zwei verschiedenen Modulen, die verschiedene bedrohliche Aktivitäten auf dem angegriffenen System ausführen sollen – einem Dropper und einem Rootkit.

Details zum Tropfermodul

Der Dropper-Teil von Facefish ist dafür verantwortlich, die Laufzeitumgebung auf dem infizierten Gerät zu bestimmen. Danach wird die Konfigurationsdatei mit der Adresse des C2-Servers entschlüsselt. Der Dropper ist auch für die Konfiguration des Rootkit-Moduls verantwortlich. Schließlich führt es das Rootkit aus, indem es in den sshd-Prozess (Secure Shell Server) injiziert wird.

Leistungsstarkes Rootkit

Rootkit-Bedrohungen sind im Allgemeinen aufgrund ihrer spezifischen Eigenschaften unglaublich bedrohlich und schwer zu bekämpfen. Diese Malware gräbt sich tief in das Zielgerät ein und platziert sich im Kern des Betriebssystems des Geräts. Dies ermöglicht es den Malware-Bedrohungen, erhöhte Rechte zu erlangen, während sie extrem schwer fassbar und schwer zu erkennen sind. Insbesondere das Facefish-Rootkit funktioniert auf der Ring-3-Ebene. Es wird mit der LD_PRELOAD-Technik geladen. Einmal etabliert, kann die Bedrohung Benutzeranmeldeinformationen stehlen, indem sie ssh/sshd-bezogene Funktionen ausnutzt. Das Rootkit besitzt auch bestimmte Backdoor-Fähigkeiten.

C2-Serverkommunikation

Facefish verwendet einen komplexen Kommunikationsprozess, wenn es um den Datenaustausch mit seinem Command-and-Control-Server geht. Die Bedrohung tauscht öffentliche Schlüssel mithilfe von Anweisungen aus, die mit 0x2xx beginnen, während die gesamte C2-Kommunikation mit der BlowFish-Chiffre (daher der Name der Malware) verschlüsselt wird. Der Bedrohungsakteur kann dann je nach seinen spezifischen Zielen verschiedene Befehle an die Malware senden. FaceFish kann angewiesen werden, mit dem Sammeln von Daten zu beginnen, einschließlich gestohlener Anmeldeinformationen, Details des Befehls „uname“ und Hostinformationen. Darüber hinaus erkennt die Bedrohung auch Befehle zum Ausführen einer Reverse-Shell, zum Ausführen beliebiger Systembefehle und zum Senden der Ergebnisse der Bash-Ausführung.

Es sei darauf hingewiesen, dass die infosec-Forscher bisher nicht in der Lage waren, die genaue Schwachstelle oder den Exploit zu lokalisieren, der von den FaceFish-Hackern missbraucht wurde, um die anvisierten Linux-Geräte zu knacken.