Facefish Backdoor
脆弱な Linux システムを侵害するバックドアの脅威が検出されました。 Qihoo 360 NETLAB の研究者によって Facefish と名付けられたこの脅威は、ユーザーのログイン資格情報やデバイス情報などの情報を収集し、コマンド アンド コントロール (C2、C&C) サーバーから受信した任意のコマンドを実行することができます。 Facefish は、侵害されたシステム上で明確な脅威活動を実行することを任務とする 2 つの異なるモジュール (ドロッパーとルートキット) で構成されています。
ドロッパーモジュールの詳細
Facefish のドロッパー部分は、感染したデバイスのランタイム環境を決定する役割を果たします。その後、C2 サーバーのアドレスを含む構成ファイルの復号化に進みます。ドロッパーは、ルートキット モジュールの構成も担当します。最後に、ルートキットを sshd (セキュア シェル サーバー) プロセスに挿入して実行します。
強力なルートキット
一般に、ルートキットの脅威は、その特定の特性のために、非常に脅威であり、対処が困難です。このマルウェアは、標的のデバイスの奥深くに潜り込み、デバイスのオペレーティング システムの中核に自らを置きます。これにより、マルウェアの脅威は、非常にとらえどころのない、検出が困難になる一方で、上位の権限に到達することができます。特に、Facefish ルートキットは Ring 3 レイヤーで機能します。 LD_PRELOAD テクニックを使用してロードされます。確立されると、この脅威は ssh/sshd 関連の機能を悪用してユーザーの資格情報を盗むことができます。ルートキットは、特定のバックドア機能も備えています。
C2 サーバー通信
Facefish は、コマンド アンド コントロール サーバーとのデータ交換に関して、複雑な通信プロセスを採用しています。この脅威は、すべての C2 通信が BlowFish 暗号 (したがって、マルウェアの名前) で暗号化されている間、0x2xx で始まる命令を使用して公開キーを交換します。脅威アクターは、特定の目的に応じて、マルウェアにさまざまなコマンドを送信できます。 FaceFish は、盗まれた資格情報、「uname」コマンドの詳細、ホスト情報などのデータの収集を開始するように指示できます。さらに、この脅威は、リバース シェルを実行したり、任意のシステム コマンドを実行したり、bash の実行結果を送信したりするコマンドも認識します。
これまで、情報セキュリティの研究者は、FaceFish ハッカーが標的の Linux デバイスに侵入するために悪用した脆弱性または悪用を正確に特定できていないことに注意してください。