Facefish Backdoor

Se ha detectado una amenaza de puerta trasera que compromete sistemas Linux vulnerables. Denominada Facefish por los investigadores de Qihoo 360 NETLAB, la amenaza es capaz de recopilar información, incluidas las credenciales de inicio de sesión del usuario y la información del dispositivo, así como ejecutar comandos arbitrarios recibidos de su servidor de Comando y Control (C2, C&C). Facefish consta de dos módulos diferentes encargados de realizar distintas actividades amenazantes en el sistema vulnerado: un cuentagotas y un rootkit.

Detalles del módulo cuentagotas

La parte del cuentagotas de Facefish es responsable de determinar el entorno de ejecución en el dispositivo infectado. Posteriormente, procederá a descifrar el archivo de configuración que lleva la dirección del servidor C2. El cuentagotas también es responsable de configurar el módulo Rootkit. Finalmente, ejecutará el rootkit inyectándolo en el proceso sshd (servidor shell seguro).

Potente rootkit

Las amenazas de rootkit, en general, son increíblemente amenazadoras y difíciles de manejar debido a sus características específicas. Este malware penetra profundamente en el dispositivo objetivo y se coloca en el núcleo del sistema operativo del dispositivo. Esto permite que las amenazas de malware alcancen privilegios elevados al tiempo que se vuelven extremadamente esquivas y difíciles de detectar. El rootkit Facefish, en particular, funciona en la capa Ring 3. Se carga mediante la técnica LD_PRELOAD. Una vez establecida, la amenaza puede robar las credenciales del usuario mediante la explotación de funciones relacionadas con ssh / sshd. El rootkit también posee ciertas capacidades de puerta trasera.

Comunicación del servidor C2

Facefish emplea un proceso de comunicación complejo cuando se trata de intercambiar datos con su servidor de Comando y Control. La amenaza intercambia claves públicas mediante instrucciones que comienzan con 0x2xx, mientras que toda la comunicación C2 se cifra con el cifrado BlowFish (de ahí el nombre del malware). El actor de amenazas puede enviar diferentes comandos al malware de acuerdo con sus objetivos específicos. Se puede indicar a FaceFish que comience a recopilar datos, incluidas las credenciales robadas, los detalles del comando 'uname' y la información del host. Además, la amenaza también reconoce comandos para ejecutar un shell inverso, ejecutar comandos del sistema arbitrarios y enviar los resultados de la ejecución de bash.

Cabe señalar que, hasta ahora, los investigadores de infosec no han podido identificar la vulnerabilidad exacta o la explotación abusada por los piratas informáticos de FaceFish para violar los dispositivos Linux objetivo.