حملات Facefish Backdoor

حملات  Facefish Backdoor

حملات Facefish Backdoor

محققان امنیت سایبری یک برنامه Backdoor جدید که قادر به سرقت اطلاعات ورود کاربر ، اطلاعات دستگاه و اجرای دستورات دلخواه در سیستم های لینوکس است را کشف کردند.

به دلیل قابلیت های کشف روت کیت های مختلف در زمان های مختلف و استفاده از رمزنگاری Blowfish برای ارتباطات به سرور کنترل شده توسط مهاجم ، این بدافزار از طرف تیم Qihoo 360 NETLAB به  “Facefish” لقب گرفته است.

بر اساس بررسی های محققان facefish از 2 قسمت Dropper و Rootkit تشکیل شده است و عملکرد اصلی آن توسط ماژول Rootkit تعیین می شود ، که در لایه Ring 3 کار می کند و با استفاده از ویژگی LD_PRELOAD بارگیری می شود تا با وارد کردن توابع مربوط به برنامه ssh / sshd ، اعتبار ورود به سیستم کاربر را به سرقت ببرد .

تحقیقات NETLAB بر اساس تجزیه و تحلیل قبلی منتشر شده توسط Juniper Networks در تاریخ 26 آوریل انجام شده است ، که

یک زنجیره حمله و قراردادن ssh در صفحه کنترل وب CentOS Web Panel یافته شده است .

Facefish یک فرآیند چند مرحله ای تخریب را طی می کند ، که با تزریق دستور  CWP برای بازیابی دستور   sshins از یک سرور از راه دور آغاز می شود ، در نتیجه یک rootkit آزاد می شود که باعث جمع آوری و انتقال اطلاعات حساس به سرور راه دورمی شود  علاوه بر این منتظر دستورالعمل های دیگری است که توسط سرور فرمان و کنترل   C2 صادر شود .

بدافزار لینوکس rootkit،شامل مجموعه ای از وظایف است ، از جمله مهمترین آنها می توان به شناسایی محیط زمان اجرا ، رمزگشایی یک فایل پیکربندی برای دریافت اطلاعات C2 ، پیکربندی rootkit و شروع rootkit با تزریق آن به فرآیند سرور پوسته امن (sshd) اشاره کرد.

روت کیت ها خطرناک هستند زیرا به مهاجمان اجازه می دهددسترسی زیادی از سیستم را به دست آورند و در نتیجه عملیات اصلی انجام شده توسط سیستم عامل اصلی را مختل کنند . روت کیت ها اجازه استتار در ساختار سیستم عامل ، و تخریب سیستم را به مهاجمان می دهد.

 

Facefish همچنین از یک پروتکل ارتباطی پیچیده و الگوریتم رمزنگاری استفاده می کند و از دستورالعمل هایی با 0x2XX برای مبادله کلیدهای عمومی و BlowFish برای رمزگذاری داده های ارتباطی با سرور C2 استفاده می کند. برخی از دستورات C2 ارسال شده توسط سرور به شرح زیر است:

 0x300 – Report stolen credential information

    0x301 – Collect details of “uname” command

    0x302 – Run reverse shell

    0x310 – Execute any system command

    0x311 – Send the result of bash execution

    0x312 – Report host information

یافته های NETLAB بر اساس تجزیه و تحلیل یک نمونه پرونده ELF است که در فوریه 2021 کشف کرده است.

اشتراک گذاری این مقاله

ارسال نظر

آدرس ایمیل شما منتشر نخواهد شد.