Das Linux-Ökosystem wird durch eine neue Art von Backdoor mit Rootkit-Fähigkeiten gefährdet. Die neue Malware ist auch in der Lage, Informationen aus dem System zu stehlen, wie Benutzeranmeldeinformationen und Gerätedetails, und Ausführen beliebiger Befehle.
Gesichtsfisch: Neue Linux-Backdoor und Rootkit
Die Malware wurde von Qihoo entdeckt discovered 360 NETLAB-Sicherheitsforscher, die ihren Dropper Facefish genannt haben.
Laut ihrem Bericht, Facefish enthält zwei Teile, Dropper und Rootkit. „Seine Hauptfunktion wird durch das Rootkit-Modul bestimmt, was am Ring funktioniert 3 Layer und wird mit der LD_PRELOAD-Funktion geladen, um die Anmeldeinformationen von Benutzern zu stehlen, indem sie ssh/sshd-Programmfunktionen einhaken, und es unterstützt auch einige Backdoor-Funktionen. Deshalb, Facefish kann als Hintertür für die Linux-Plattform bezeichnet werden,“So der Bericht.
Was sind die Hauptfunktionen von Facefish??
Die Hintertür kann Geräteinformationen hochladen, Benutzeranmeldeinformationen stehlen, Shell abprallen, und führe beliebige Befehle aus.
Wie vermehrt sich Facefish in freier Wildbahn?? Die Malware nutzt eine bestimmte Schwachstelle für ihre erfolgreiche Verbreitung, aber es wurde noch nicht bekannt gegeben. Es sei darauf hingewiesen, dass die Analyse von NETLAB auf einem April-Bericht von Juniper Networks basiert. Der Bericht enthüllte Details zu einer Angriffskette, die auf das Control Web Panel abzielte (CWP) um ein SSH-Implantat mit Datenexfiltrationsfunktionen zu injizieren.
In Bezug auf die Infektionsmechanismen von Facefish, Die Malware durchläuft mehrere Phasen, die durch eine Befehlsinjektion gegen CWP initiiert werden, um einen Dropper von einem Remote-Server abzurufen. Der nächste Schritt ist die Aktivierung des Rootkits, das sensible Informationen sammelt und an den Server überträgt, beim Warten auf weitere Anweisungen der Command-and-Control-Infrastruktur.
Der Tropfenzähler
Die Pipette ist mit eigenen Aufgaben ausgestattet, einschließlich der Fähigkeit, die Laufzeitumgebung zu erkennen, Konfigurationsdateien entschlüsseln, um Command-and-Control-Informationen zu erhalten, das Rootkit konfigurieren, und initiieren Sie es, indem Sie es in den sshd-Serverprozess injizieren.
Das Rootkit
Rootkit-Komponenten sind erschreckend gefährlich, da sie Angreifern helfen können, erhöhte Rechte zu erlangen und den Kernsystembetrieb zu stören. Kurz gesagt, Rootkits wie Facefish können sich tief in das Betriebssystem eingraben, Bietet Bedrohungsakteuren Tarnung und die Möglichkeit, Erkennungsmechanismen zu umgehen.
NETLAB-Forscher stellen außerdem fest, dass Facefish speziell das FreeBSD-Betriebssystem unterstützt. Die vollständige technische Offenlegung der Backdoor und des Rootkits von Facefish finden Sie in die ursprüngliche Analyse.
Andere Beispiele für Rootkit-basierte Angriffe sind Cryptojacking Nansh0u-Operation und die KORKERDS Miner und Rootkit.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: