Peneliti Peringatkan Facefish Backdoor Menyebarkan Rootkit Linux

  • Whatsapp
malware rootkit linux

Peneliti keamanan siber telah mengungkapkan program pintu belakang baru yang mampu mencuri kredensial login pengguna, informasi perangkat, dan menjalankan perintah sewenang-wenang pada sistem Linux.

Penetes malware telah dijuluki “ikan muka” oleh tim NETLAB Qihoo 360 karena kemampuannya untuk memberikan rootkit yang berbeda pada waktu yang berbeda dan penggunaan Blowfish cipher untuk mengenkripsi komunikasi ke server yang dikendalikan penyerang.

Bacaan Lainnya

Facefish terdiri dari 2 bagian yaitu Dropper dan Rootkit, dan fungsi utamanya ditentukan oleh modul Rootkit yang bekerja di Cincin 3 lapisan dan dimuat menggunakan LD_PRELOAD fitur untuk mencuri kredensial login pengguna dengan mengaitkan fungsi terkait program ssh/sshd, dan juga mendukung beberapa fungsi pintu belakang,” para peneliti berkata.

auditor kata sandi

Penelitian NETLAB dibangun di atas analisis sebelumnya diterbitkan oleh Juniper Networks pada tanggal 26 April, yang mendokumentasikan rantai serangan yang menargetkan Control Web Panel (CWP, sebelumnya CentOS Web Panel) untuk menyuntikkan implan SSH dengan kemampuan eksfiltrasi data.

Facefish melewati proses infeksi multi-tahap, yang dimulai dengan injeksi perintah terhadap CWP untuk mengambil penetes (“sshins”) dari server jauh, yang kemudian merilis rootkit yang pada akhirnya bertanggung jawab untuk mengumpulkan dan mengirimkan informasi sensitif kembali ke server, selain menunggu instruksi lebih lanjut yang dikeluarkan oleh server command-and-control (C2).

malware rootkit linux

Untuk bagiannya, penetes dilengkapi dengan serangkaian tugasnya sendiri, yang paling utama adalah mendeteksi lingkungan runtime, mendekripsi file konfigurasi untuk mendapatkan informasi C2, mengonfigurasi rootkit, dan memulai rootkit dengan memasukkannya ke dalam proses server shell aman (sshd ).

Rootkit sangat berbahaya karena memungkinkan penyerang mendapatkan hak istimewa yang lebih tinggi dalam sistem, memungkinkan mereka untuk mengganggu operasi inti yang dilakukan oleh sistem operasi yang mendasarinya. Kemampuan rootkit untuk berkamuflase ke dalam struktur sistem operasi memberikan penyerang tingkat siluman dan penghindaran yang tinggi.

Facefish juga menggunakan protokol komunikasi dan algoritma enkripsi yang kompleks, menggunakan instruksi yang dimulai dengan 0x2XX untuk bertukar kunci publik dan BlowFish untuk mengenkripsi data komunikasi dengan server C2. Beberapa perintah C2 yang dikirim oleh server adalah sebagai berikut –

  • 0x300 – Laporkan informasi kredensial yang dicuri
  • 0x301 – Kumpulkan detail “nama kamu“perintah
  • 0x302 – Jalankan shell terbalik
  • 0x310 – Jalankan perintah sistem apa pun
  • 0x311 – Kirim hasil eksekusi bash
  • 0x312 – Laporkan informasi tuan rumah

Temuan NETLAB berasal dari analisis file sampel ELF yang terdeteksi pada Februari 2021. Indikator kompromi lain yang terkait dengan malware dapat diakses sini.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *