L'écosystème Linux est menacé par un nouveau type de porte dérobée avec des capacités de rootkit. Le nouveau malware est également capable de voler des informations du système, tels que les informations d'identification de l'utilisateur et les détails de l'appareil, et l'exécution de commandes arbitraires.
Poisson de face: Nouvelle porte dérobée et rootkit Linux
Le malware a été découvert par Qihoo 360 Les chercheurs en sécurité de NETLAB qui ont nommé son compte-gouttes Facefish.
Selon leur rapport, Facefish contient deux parties, Compte-gouttes et rootkit. « Sa fonction principale est déterminée par le module Rootkit, qui travaille au Ring 3 et est chargé à l'aide de la fonction LD_PRELOAD pour voler les informations de connexion de l'utilisateur en accrochant les fonctions liées au programme ssh / sshd, et il prend également en charge certaines fonctions de porte dérobée. Donc, Facefish peut être caractérisé comme une porte dérobée pour la plate-forme Linux,» Le rapport.
Quelles sont les principales fonctionnalités de Facefish?
La porte dérobée peut télécharger des informations sur l'appareil, voler les identifiants de l'utilisateur, rebond Shell, et exécuter des commandes arbitraires.
Comment Facefish se propage-t-il dans la nature? Le malware utilise une vulnérabilité spécifique pour sa distribution réussie, mais il n'a pas encore été divulgué. Il convient de noter que l'analyse de NETLAB a été basée sur un rapport d'avril de Juniper Networks. Le rapport a révélé des détails sur une chaîne d'attaque ciblant le panneau Web de contrôle (CWP) pour injecter un implant SSH avec des fonctionnalités d'exfiltration de données.
En termes de mécanismes d'infection de Facefish, le malware passe par plusieurs étapes initiées par une injection de commande contre CWP pour récupérer un compte-gouttes à partir d'un serveur distant. L'étape suivante consiste à activer le rootkit qui collecte et transmet les informations sensibles au serveur, en attendant d'autres instructions de l'infrastructure de commandement et de contrôle.
Le compte-gouttes
Le compte-gouttes est équipé de ses propres tâches, y compris la capacité de détecter l'environnement d'exécution, décrypter les fichiers de configuration pour recevoir des informations de commande et de contrôle, configurer le rootkit, et l'initier en l'injectant dans le processus du serveur sshd.
Le rootkit
Les composants du rootkit sont extrêmement dangereux, car ils peuvent aider les attaquants à obtenir des privilèges élevés et à interférer avec les opérations du système. Peu dit, les rootkits tels que Facefish peuvent s'enfoncer profondément dans le système d'exploitation, donner aux acteurs de la menace la furtivité et la possibilité de contourner les mécanismes de détection.
Les chercheurs de NETLAB notent également que Facefish prend spécifiquement en charge le système d'exploitation FreeBSD. La divulgation technique complète de la porte dérobée et du rootkit Facefish est disponible dans l'analyse originale.
D'autres exemples d'attaques basées sur des rootkits incluent le cryptojacking Opération Nansh0u et l' Mineur et rootkit KORKERDS.