malware Linux rootkit

Des chercheurs en cybersécurité ont dévoilé un nouveau programme de porte dérobée capable de voler les identifiants de connexion des utilisateurs, des informations sur les appareils et d’exécuter des commandes arbitraires sur les systèmes Linux.

Le compte-gouttes de logiciels malveillants a été doublé “Facefish“par l’équipe Qihoo 360 NETLAB en raison de ses capacités à fournir différents rootkits à des moments différents et l’utilisation de Blowfish cipher pour crypter les communications vers le serveur contrôlé par l’attaquant.

“Facefish se compose de 2 parties, Dropper et Rootkit, et sa fonction principale est déterminée par le module Rootkit, qui fonctionne au Anneau 3 couche et est chargé à l’aide du LD_PRELOAD pour voler les identifiants de connexion des utilisateurs en accrochant les fonctions liées au programme ssh / sshd, et il prend également en charge certaines fonctions de porte dérobée, “les chercheurs mentionné.

auditeur de mot de passe

La recherche NETLAB s’appuie sur une analyse précédente publié par Juniper Networks le 26 avril, qui a documenté une chaîne d’attaque visant Control Web Panel (CWP, anciennement CentOS Web Panel) pour injecter un implant SSH avec des capacités d’exfiltration de données.

Facefish passe par un processus d’infection en plusieurs étapes, qui commence par une injection de commande contre le CWP pour récupérer un compte-gouttes (“sshins”) à partir d’un serveur distant, qui libère ensuite un rootkit qui prend finalement en charge la collecte et la transmission des informations sensibles à le serveur, en plus d’attendre d’autres instructions émises par le serveur de commande et de contrôle (C2).

malware Linux rootkit

Pour sa part, le dropper est livré avec son propre ensemble de tâches, dont la principale est la détection de l’environnement d’exécution, le déchiffrement d’un fichier de configuration pour obtenir des informations C2, la configuration du rootkit et le démarrage du rootkit en l’injectant dans le processus du serveur shell sécurisé (sshd ).

Les rootkits sont particulièrement dangereux car ils permettent aux attaquants d’obtenir des privilèges élevés dans le système, ce qui leur permet d’interférer avec les opérations principales menées par le système d’exploitation sous-jacent. Cette capacité des rootkits à se camoufler dans la structure du système d’exploitation donne aux attaquants un haut niveau de furtivité et d’évasion.

Facefish utilise également un protocole de communication complexe et un algorithme de cryptage, utilisant des instructions commençant par 0x2XX pour échanger des clés publiques et BlowFish pour crypter les données de communication avec le serveur C2. Certaines des commandes C2 envoyées par le serveur sont les suivantes –

  • 0x300 – Signaler les informations d’identification volées
  • 0x301 – Collectez les détails de “ton nom“commande
  • 0x302 – Exécuter le shell inversé
  • 0x310 – Exécute n’importe quelle commande système
  • 0x311 – Envoie le résultat de l’exécution de bash
  • 0x312 – Rapporter les informations sur l’hôte

Les conclusions de NETLAB proviennent d’une analyse d’un exemple de fichier ELF détecté en février 2021. D’autres indicateurs de compromission associés au malware sont accessibles ici.



Leave a Reply