O ecossistema Linux está ameaçado por um novo tipo de backdoor com recursos de rootkit. O novo malware também é capaz de roubar informações do sistema, como credenciais do usuário e detalhes do dispositivo, e execução de comandos arbitrários.
Facefish: Novo Linux Backdoor e Rootkit
O malware foi descoberto por Qihoo 360 Pesquisadores de segurança da NETLAB que batizaram seu conta-gotas de Facefish.
De acordo com o relatório deles, Facefish contém duas partes, Conta-gotas e Rootkit. “Sua função principal é determinada pelo módulo Rootkit, que funciona no ringue 3 camada e é carregado usando o recurso LD_PRELOAD para roubar credenciais de login do usuário conectando funções relacionadas ao programa ssh / sshd, e também suporta algumas funções backdoor. Portanto, Facefish pode ser caracterizado como uma porta dos fundos para a plataforma Linux,”Disse o relatório.
Quais são as principais funcionalidades do Facefish?
O backdoor pode carregar informações do dispositivo, roubar credenciais do usuário, bounce Shell, e executar comandos arbitrários.
Como o Facefish está se propagando na natureza? O malware usa uma vulnerabilidade específica para sua distribuição bem-sucedida, mas ainda não foi divulgado. Deve-se notar que a análise do NETLAB foi baseada em um relatório de abril da Juniper Networks. O relatório revelou detalhes sobre uma cadeia de ataque direcionada ao Painel de Controle da Web (CWP) para injetar um implante SSH com funcionalidades de exfiltração de dados.
Em termos de mecanismos de infecção do Facefish, o malware passa por vários estágios iniciados por uma injeção de comando contra CWP para recuperar um conta-gotas de um servidor remoto. A próxima etapa é habilitar o rootkit que coleta e transmite informações confidenciais para o servidor, enquanto espera por mais instruções da infraestrutura de comando e controle.
O conta-gotas
O conta-gotas está equipado com suas próprias tarefas, incluindo a capacidade de detectar o ambiente de execução, descriptografar arquivos de configuração para receber informações de comando e controle, configurar o rootkit, e inicie-o injetando-o no processo do servidor sshd.
O rootkit
Os componentes do rootkit são alarmantemente perigosos, pois podem ajudar os invasores a obter privilégios elevados e interferir nas operações centrais do sistema. disse brevemente, rootkits como o Facefish podem se aprofundar no sistema operacional, dando aos agentes da ameaça sigilo e a capacidade de contornar os mecanismos de detecção.
Os pesquisadores do NETLAB também observaram que o Facefish suporta especificamente o sistema operacional FreeBSD. A divulgação técnica completa do backdoor e do rootkit do Facefish está disponível em a análise original.
Outros exemplos de ataques baseados em rootkit incluem o cryptojacking Operação Nansh0u e a Minerador e rootkit KORKERDS.