
网络安全研究人员披露了一种新的后门程序,该程序能够窃取用户登录凭据、设备信息并在 Linux 系统上执行任意命令。
奇虎 360 NETLAB 团队将恶意软件植入程序称为“ Facefish ”,因为它能够在不同时间提供不同的 rootkit,并使用Blowfish密码对与攻击者控制的服务器的通信进行加密。
“Facefish 由 Dropper 和 Rootkit 2 部分组成,其主要功能由 Rootkit 模块决定,该模块工作在Ring 3层,使用LD_PRELOAD特性加载,通过挂钩 ssh/sshd 程序相关功能来窃取用户登录凭据,并且它还支持一些后门功能,”研究人员说。
NETLAB的研究建立在Juniper Networks于4月26日发布的先前分析的基础上,该分析记录了针对控制Web面板(CWP,以前为CentOS Web面板)的攻击链,以注入具有数据渗透功能的SSH植入物。
Facefish 经历了一个多阶段的感染过程,从对 CWP 的命令注入开始,从远程服务器检索一个 dropper(“sshins”),然后释放一个 rootkit,最终负责收集敏感信息并将其传输回除了等待命令和控制 (C2) 服务器发出的进一步指令外。

虽然攻击者进行初步妥协利用准确的脆弱性仍不清楚,瞻博指出,CWP已经被困扰着几十个的安全问题,增加了“故意加密和模糊处理”的源代码已经使其“很难确定哪个CWP的版本是或仍然容易受到这种攻击。”
就其本身而言,dropper 带有自己的一组任务,主要包括检测运行时环境、解密配置文件以获取 C2 信息、配置 rootkit,以及通过将其注入安全 shell 服务器进程 (sshd) 来启动 rootkit )。
Rootkit 尤其危险,因为它们允许攻击者在系统中获得提升的权限,从而干扰底层操作系统执行的核心操作。Rootkit 伪装到操作系统结构中的这种能力为攻击者提供了高度的隐身和逃避能力。
Facefish 还采用了复杂的通信协议和加密算法,使用以 0x2XX 开头的指令交换公钥,使用 BlowFish 与 C2 服务器加密通信数据。服务器发送的部分C2命令如下——
- 0x300 – 报告被盗凭据信息
- 0x301 – 收集“ uname ”命令的详细信息
- 0x302 – 运行反向shell
- 0x310 – 执行任何系统命令
- 0x311 – 发送 bash 执行结果
- 0x312 – 报告主机信息
NETLAB的发现来自对2021年2月检测到的ELF样本文件的分析,可以在此处访问与该恶意软件相关的其他危害指标。
*编译:Domino
*来自:thehackernews