Facefish Backdoor
Une menace de porte dérobée a été détectée, compromettant les systèmes Linux vulnérables. Nommée Facefish par les chercheurs de Qihoo 360 NETLAB, la menace est capable de collecter des informations, notamment les identifiants de connexion de l'utilisateur et les informations sur l'appareil, ainsi que d'exécuter des commandes arbitraires reçues de son serveur Command-and-Control (C2, C&C). Facefish se compose de deux modules différents chargés d'effectuer des activités menaçantes distinctes sur le système violé - un compte-gouttes et un rootkit.
Détails du module compte-gouttes
La partie compte-gouttes de Facefish est chargée de déterminer l'environnement d'exécution sur l'appareil infecté. Ensuite, il procédera au décryptage du fichier de configuration portant l'adresse du serveur C2. Le compte-gouttes est également responsable de la configuration du module Rootkit. Enfin, il exécutera le rootkit en l'injectant dans le processus sshd (secure shell server).
Rootkit puissant
Les menaces de rootkits, en général, sont incroyablement menaçantes et difficiles à gérer en raison de leurs caractéristiques spécifiques. Ce malware s'enfonce profondément dans l'appareil ciblé et se place au cœur du système d'exploitation de l'appareil. Cela permet aux menaces de logiciels malveillants d'atteindre des privilèges élevés tout en devenant extrêmement insaisissables et difficiles à détecter. Le rootkit Facefish, en particulier, fonctionne au niveau de la couche Ring 3. Il est chargé par la technique LD_PRELOAD. Une fois établie, la menace peut voler les informations d'identification des utilisateurs en exploitant les fonctions liées à ssh/sshd. Le rootkit possède également certaines capacités de porte dérobée.
Communication serveur C2
Facefish utilise un processus de communication complexe lorsqu'il s'agit d'échanger des données avec son serveur Command-and-Control. La menace échange des clés publiques en utilisant des instructions qui commencent par 0x2xx, tandis que toutes les communications C2 sont cryptées avec le chiffrement BlowFish (d'où le nom du malware). L'acteur de la menace peut alors envoyer différentes commandes au malware en fonction de ses objectifs spécifiques. FaceFish peut recevoir l'instruction de commencer à collecter des données, y compris les informations d'identification volées, les détails de la commande « uname » et les informations sur l'hôte. En outre, la menace reconnaît également les commandes permettant d'exécuter un shell inversé, d'exécuter des commandes système arbitraires et d'envoyer les résultats de l'exécution de bash.
Il convient de noter que jusqu'à présent, les chercheurs d'infosec n'ont pas été en mesure d'identifier la vulnérabilité exacte ou l'exploit abusé par les pirates de FaceFish pour violer les appareils Linux ciblés.