Os pesquisadores de segurança cibernética da equipe Qihoo 360 NETLAB descobriram recentemente um novo backdoor do Linux, que foi apelidado de “Facefish”.
Os especialistas têm reivindicado que esse novo backdoor tem a capacidade de roubar informações do dispositivo do usuário, credenciais de login e até mesmo executar comandos arbitrários nos sistemas Linux infectados.
Ao abusar deste novo backdoor Facefish, um agente de ameaça pode criptografar as comunicações para o servidor controlado pelo invasor com a ajuda da cifra Blowfish. E não só isso, também permite que um invasor entregue vários rootkits em momentos distintos.
ConteĂşdo do backdoor Facefish
O backdoor Facefish Ă© composto por dois mĂłdulos principais, e aqui eles sĂŁo mencionados abaixo: –
Aqui, o objetivo ou função principal do módulo Rootkit é reconhecer o objetivo ou função principal do backdoor Facefish. Com a ajuda do recurso LD_PRELOAD, o módulo Rootkit é carregado e no Ring 3 camada este módulo funciona.
Ao explorar o recurso LD_PRELOAD, o Rootkit O módulo do Facefish conecta as funções relacionadas ao programa ssh/sshd para roubar as credenciais de login dos usuários nos sistemas afetados.
Funções primárias do Facefish
As principais funções do backdoor Facefish são mencionadas abaixo: –
- Carregar informações do dispositivo
- Roubando credenciais de usuário
- Casca de salto
- Execute comandos arbitrários
Um relatĂłrio anterior da Juniper Networks explica sobre uma cadeia de ataque que injeta implantes SSH no Control Web Panel (CWP, antigo CentOS Web Panel) para exfiltrar dados essenciais dos sistemas afetados.
Os pesquisadores do NETLAB explicam que a cadeia de infecção do backdoor Facefish pode ser dividida em 3 etapas, e aqui estĂŁo elas: –
- Na 1ª etapa, através do Dropper implantado e vulnerabilidade no sistema infectado, o Facefish espalha sua infecção.
- Na 2ÂŞ etapa, o mĂłdulo Dropper do Facfish libera o Rootkit no sistema infectado.
- A 3ª etapa é a operacional, e nesta etapa o módulo Rootkit coleta as informações confidenciais do sistema infectado e aguarda as instruções do servidor de comando e controle (C2) para realizar o processo de execução.
Para o comprometimento inicial, a vulnerabilidade definitiva explorada pelo invasor ainda permanece obscura. Mas, os analistas de segurança explicam que o mĂłdulo conta-gotas do Facefish vem com um conjunto de tarefas prĂ©-construĂdas como:-
- Detectando o ambiente de tempo de execução.
- Para obter informações C2 descriptografando um arquivo de configuração.
- Configurando o rootkit.
- Iniciando o rootkit injetando-o no “sshd”.
Além disso, os Rootkits podem tornar-se um grave perigo, pois no sistema infectado ajudam o agente da ameaça a obter privilégios elevados; e devido aos privilégios elevados, o invasor também pode colocar em risco as operações principais do sistema operacional.
Comandos C2
- 0x300 – Relatar informações de credenciais roubadas
- 0x301 – Colete detalhes do comando “uname”
- 0x302 – Execute shell reverso
- 0x310 – Execute qualquer comando do sistema
- 0x311 – Envia o resultado da execução do bash
- 0x312 – Reportar informações do host
Além de tudo isso, em fevereiro de 2021, um arquivo de amostra ELF foi detectado pelos especialistas e após análise desse arquivo de amostra ELF, os veredictos recentes do NETLAB foram publicados.
Amostra MD5
38fb322cc6d09a6ab85784ede56bc5a7 sshins d6ece2d07aa6c0a9e752c65fbe4c4ac2 libs.so
C2
176.111.174.26:443
VocĂŞ pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notĂcias sobre segurança cibernĂ©tica e hackers.
