Marcus1337
VIP Members
-
01/04/2021
-
62
-
76 bài viết
Facefish Backdoor đang phát tán các Rootkit Linux
Các nhà nghiên cứu bảo mật đã tiết lộ một chương trình backdoor mới có khả năng đánh cắp thông tin đăng nhập của người dùng, thông tin thiết bị và thực hiện các lệnh tùy ý trên hệ thống Linux.
Phần mềm mã độc có tên "Facefish" có khả năng cung cấp các bộ rootkit khác nhau vào những thời điểm khác nhau và sử dụng mật mã Blowfish để mã hóa các giao tiếp tới máy chủ do kẻ tấn công kiểm soát.
Facefish bao gồm 2 phần, Dropper và Rootkit, và chức năng chính của nó được xác định bởi mô-đun Rootkit, hoạt động ở lớp Ring 3 và được tải lên bằng LD_PRELOAD để lấy cắp thông tin đăng nhập của người dùng bằng cách hooking các chức năng liên quan đến chương trình ssh / sshd, và đồng thời hỗ trợ một số chức năng backdoor.
Dropper đi kèm với tập hợp các nhiệm vụ của riêng nó, chủ yếu là phát hiện môi trường thời gian chạy, giải mã tệp cấu hình để lấy thông tin C2, cấu hình rootkit và khởi động rootkit bằng cách đưa nó vào quy trình dịch vụ sshd .
Rootkit đặc biệt nguy hiểm vì chúng cho phép những kẻ tấn công có được các đặc quyền nâng cao trong hệ thống, cho phép chúng can thiệp vào các hoạt động cốt lõi được thực hiện bởi hệ điều hành cơ bản. Khả năng ngụy trang của rootkit này vào kết cấu của hệ điều hành mang lại cho kẻ tấn công khả năng ẩn nấp và tránh bị phát hiện cao.
Facefish cũng sử dụng một giao thức giao tiếp phức tạp và thuật toán mã hóa, sử dụng các hướng dẫn bắt đầu bằng 0x2XX để trao đổi khóa công khai và BlowFish để mã hóa dữ liệu giao tiếp với máy chủ C2. Một số lệnh C2 được gửi bởi máy chủ như sau:
Phần mềm mã độc có tên "Facefish" có khả năng cung cấp các bộ rootkit khác nhau vào những thời điểm khác nhau và sử dụng mật mã Blowfish để mã hóa các giao tiếp tới máy chủ do kẻ tấn công kiểm soát.
Facefish bao gồm 2 phần, Dropper và Rootkit, và chức năng chính của nó được xác định bởi mô-đun Rootkit, hoạt động ở lớp Ring 3 và được tải lên bằng LD_PRELOAD để lấy cắp thông tin đăng nhập của người dùng bằng cách hooking các chức năng liên quan đến chương trình ssh / sshd, và đồng thời hỗ trợ một số chức năng backdoor.
Dropper đi kèm với tập hợp các nhiệm vụ của riêng nó, chủ yếu là phát hiện môi trường thời gian chạy, giải mã tệp cấu hình để lấy thông tin C2, cấu hình rootkit và khởi động rootkit bằng cách đưa nó vào quy trình dịch vụ sshd .
Rootkit đặc biệt nguy hiểm vì chúng cho phép những kẻ tấn công có được các đặc quyền nâng cao trong hệ thống, cho phép chúng can thiệp vào các hoạt động cốt lõi được thực hiện bởi hệ điều hành cơ bản. Khả năng ngụy trang của rootkit này vào kết cấu của hệ điều hành mang lại cho kẻ tấn công khả năng ẩn nấp và tránh bị phát hiện cao.
Facefish cũng sử dụng một giao thức giao tiếp phức tạp và thuật toán mã hóa, sử dụng các hướng dẫn bắt đầu bằng 0x2XX để trao đổi khóa công khai và BlowFish để mã hóa dữ liệu giao tiếp với máy chủ C2. Một số lệnh C2 được gửi bởi máy chủ như sau:
- 0x300 - Báo cáo thông tin xác thực bị đánh cắp
- 0x301 - Thu thập chi tiết của lệnh "uname"
- 0x302 - Run reverse shell
- 0x310 - Thực thi bất kỳ lệnh hệ thống nào
- 0x311 - Gửi kết quả thực hiện bash shell
- 0x312 - Báo cáo thông tin máy chủ
Theo The Hacker News