L'ecosistema Linux è messo in pericolo da un nuovo tipo di backdoor con funzionalità rootkit. Il nuovo malware è anche in grado di rubare informazioni dal sistema, come le credenziali dell'utente e i dettagli del dispositivo, ed eseguendo comandi arbitrari.
pesce faccia: Nuova backdoor e rootkit di Linux
Il malware è stato scoperto da Qihoo 360 I ricercatori della sicurezza NETLAB che hanno chiamato il suo contagocce Facefish.
Secondo il loro rapporto, Facefish contiene due parti, Contagocce e Rootkit. “La sua funzione principale è determinata dal modulo Rootkit, che lavora al Ring 3 layer e viene caricato utilizzando la funzione LD_PRELOAD per rubare le credenziali di accesso dell'utente agganciando le funzioni relative al programma ssh/sshd, e supporta anche alcune funzioni backdoor. Pertanto, Facefish può essere caratterizzato come una backdoor per la piattaforma Linux,”Dice il rapporto.
Quali sono le principali funzionalità di Facefish?
La backdoor può caricare le informazioni sul dispositivo, rubare le credenziali dell'utente, rimbalzare Shell, ed eseguire comandi arbitrari.
Come si propaga Facefish in natura?? Il malware utilizza una vulnerabilità specifica per la sua distribuzione di successo, ma non è stato ancora rivelato. Va notato che l'analisi di NETLAB si è basata su un rapporto di aprile di Juniper Networks. Il rapporto ha rivelato dettagli su una catena di attacchi che prende di mira il Pannello Web di controllo (CWP) per iniettare un impianto SSH con funzionalità di esfiltrazione dei dati.
In termini di meccanismi di infezione di Facefish, il malware passa attraverso diverse fasi avviate da un'iniezione di comando contro CWP per recuperare un dropper da un server remoto. Il prossimo passo è abilitare il rootkit che raccoglie e trasmette informazioni sensibili al server, in attesa di ulteriori istruzioni da parte dell'infrastruttura di comando e controllo.
il contagocce
Il contagocce è dotato di propri compiti, inclusa la capacità di rilevare l'ambiente di runtime, decrittografare i file di configurazione per ricevere informazioni di comando e controllo, configurare il rootkit, e avviarlo iniettandolo nel processo del server sshd.
Il rootkit
I componenti del rootkit sono allarmantemente pericolosi, in quanto possono aiutare gli aggressori a ottenere privilegi elevati e interferire con le operazioni principali del sistema. Poco detto, rootkit come Facefish possono scavare in profondità nel sistema operativo, offrendo agli attori della minaccia la furtività e la capacità di aggirare i meccanismi di rilevamento.
I ricercatori NETLAB notano anche che Facefish supporta specificamente il sistema operativo FreeBSD. La divulgazione tecnica completa della backdoor e del rootkit di Facefish è disponibile in l'analisi originale.
Altri esempi di attacchi basati su rootkit includono il cryptojacking operazione Nansh0uu e la KORKERDS miner e rootkit.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: