Het Linux-ecosysteem wordt bedreigd door een nieuw type achterdeur met rootkit-mogelijkheden. De nieuwe malware is ook in staat om informatie van het systeem te stelen, zoals gebruikersgegevens en apparaatgegevens, en willekeurige commando's uitvoeren.
Gezichtsvis: Nieuwe Linux Backdoor en Rootkit
De malware is ontdekt door Qihoo 360 NETLAB-beveiligingsonderzoekers die de dropper Facefish hebben genoemd.
Volgens hun rapport, Facefish bestaat uit twee delen, Dropper en Rootkit. “De hoofdfunctie wordt bepaald door de Rootkit-module, die werkt bij de Ring 3 laag en wordt geladen met behulp van de LD_PRELOAD-functie om inloggegevens van gebruikers te stelen door ssh/sshd-programmagerelateerde functies te hooken, en het ondersteunt ook enkele achterdeurfuncties. Daarom, Facefish kan worden gekarakteriseerd als een achterdeur voor het Linux-platform,”Aldus het rapport.
Wat zijn de belangrijkste functionaliteiten van Facefish?
De achterdeur kan apparaatinformatie uploaden, gebruikersgegevens stelen, stuiteren Shell, en willekeurige commando's uitvoeren.
Hoe plant Facefish zich in het wild voort?? De malware gebruikt een specifieke kwetsbaarheid voor de succesvolle verspreiding ervan, maar het is nog niet bekendgemaakt. Opgemerkt moet worden dat de analyse van NETLAB is gebaseerd op een rapport van april van Juniper Networks. Het rapport onthulde details over een aanvalsketen gericht op het Control Web Panel (CWP) om een SSH-implantaat te injecteren met functionaliteiten voor gegevensexfiltratie.
In termen van de infectiemechanismen van Facefish, de malware doorloopt verschillende stadia die worden geïnitieerd door een opdrachtinjectie tegen CWP om een dropper op te halen van een externe server. De volgende stap is het inschakelen van de rootkit die gevoelige informatie verzamelt en naar de server verzendt, in afwachting van verdere instructies van de command-and-control-infrastructuur.
de druppelaar
De druppelaar is voorzien van eigen taken, inclusief de mogelijkheid om de runtime-omgeving te detecteren, decodeer configuratiebestanden om command-and-control-informatie te ontvangen, configureer de rootkit, en start het door het in het sshd-serverproces te injecteren.
de rootkit
Rootkit-componenten zijn alarmerend gevaarlijk, omdat ze aanvallers kunnen helpen verhoogde privileges te verkrijgen en de werking van het kernsysteem te verstoren. Kort gezegd, rootkits zoals Facefish kunnen zich diep in het besturingssysteem graven, bedreigingsactoren stealth geven en de mogelijkheid bieden om detectiemechanismen te omzeilen.
NETLAB-onderzoekers merken ook op dat Facefish specifiek het FreeBSD-besturingssysteem ondersteunt. Volledige technische onthulling van de Facefish-backdoor en rootkit is beschikbaar in: de originele analyse.
Andere voorbeelden van op rootkits gebaseerde aanvallen zijn de cryptojacking Nansh0u-bewerking en KORKERDS mijnwerker en rootkit.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: