هشدار محققان نسبت به گسترش روت کیت های لینوکسی Facefish Backdoor
اخبار داغ فناوری اطلاعات و امنیت شبکه
محققان امنیت سایبری یک برنامه Backdoor جدید را شناسایی کرده اند که قادر به سرقت اطلاعات ورودی کاربر، اطلاعات دستگاه و اجرای دستورات دلخواه در سیستم های لینوکس است.
این عامل بدافزاری به دلیل قابلیت های خود برای ارائه روت کیت های مختلف در زمان های مختلف و استفاده از رمزنگاری Blowfish برای رمزگذاری ارتباطات به سرور تحت کنترل مهاجم، توسط Qihoo 360 نت لب با عنوان "Facefish" لقب گرفته است.
به گفته محققان: "Facefish از 2 قسمت Dropper و Rootkit تشکیل شده است و عملکرد اصلی آن توسط ماژول Rootkit تعیین می شود، که در ی حلقه سه لایه کار می کند و با استفاده از ویژگی LD_PRELOAD بارگیری می شود تا با ورود به سیستم، توابع مربوط به پروگرم ssh/sshd، اعتبارنامه ورود به سیستم کاربر را بدزدد. لازم به ذکر است که این بدافزار همچنین برخی از عملکردهای بک دور را پشتیبانی کرده و ارائه میکند".
به گزارش هکر نیوز، تحقیقات نت لب بر اساس تجزیه و تحلیل های قبلی که توسط جونیپر نتورکز در تاریخ 26 ماه آوریل انجام شده بود، منتشر شده است، که زنجیره حمله برای هدف قرار دادن کنترل پنل وب (CWP ، پنل سابق CentOS Web) برای تزریق ایمپلنت SSH با قابلیت اکسفیلتریشن داده ها را مستندسازی کرده است.
Facefish یک فرآیند آلودگی چند مرحله ای را طی می کند، که با تزریق دستور CWP برای بازیابی دراپر ("sshins") از یک سرور از راه دور آغاز می شود؛ سپس یک rootkit به دستگاه منتقل می شود که علاوه بر اینکه منتظر دستورالعمل های دیگری که توسط سرور command-and-control (C2) صادر شده است، میماند؛ در نهایت کار جمع آوری و انتقال اطلاعات حساس به سرور را نیز انجام میدهد.
در حالی که مشخص نیست که دقیقا این آسیب پذیری مورد سوءاستفاده مهاجم برای اولین موارد به خطر انداختن کاربران استفاده شده است یا خیر، اما جونیپر خاطرنشان کرد که CWP از ده ها مورد از مشکلات امنیتی رنج می برد و افزودن رمزگذاری و پنهان سازی عمدی کد منبع، تشخیص اینکه کدام نسخه از CWP آسیب پذیر بوده یا در برابر این حمله آسیب پذیر باقی مانده است را دشوار کرده است.
به نوبه خود، دراپر با مجموعه ای از وظایف مختص خود همراه است که از جمله مهمترین آنها می توان به شناسایی زمان اجرا و فعالیت محیط کاربر، رمزگشایی فایل پیکربندی برای دریافت اطلاعات C2، پیکربندی rootkit و شروع rootkit با تزریق آن به پروسس سرور امن shell (sshd) اشاره کرد.
روت کیت ها به خودی خود خطرناک هستند زیرا به مهاجمان اجازه می دهند اختیارات زیادی را در سیستم به دست آورند و همچنین به آنها اجازه می دهد در عملیات های اصلی انجام شده توسط سیستم عامل اصلی نفوذ و دخالت کنند. این توانایی روت کیت ها برای استتار در ساختار سیستم عامل، امکان گسترده ای برای پنهان کاری به مهاجمان می دهد.
Facefish همچنین از یک پروتکل ارتباطی پیچیده و الگوریتم رمزنگاری استفاده می کند و از دستورالعمل هایی با 0x2XX شروع میشوند برای تبادل کلیدهای عمومی و BlowFish برای رمزگذاری داده های ارتباطی با سرور C2 استفاده می کنند. برخی از دستورات C2 ارسال شده توسط سرور به شرح زیر هستند:
- 0x300 – ارسال گزارش اطلاعات اعتبارنامه سرقت شده
- 0x301 - جمع آوری جزئیات دستور "uname"
- 0x302 – اجرای shell معکوس
- 0x310 – اجرای هر نوع دستور سیستمی
- 0x311 - ارسال نتیجه اجرای bash
- 0x312 - گزارش اطلاعات میزبان
یافته های نت لب از تجزیه و تحلیل یک پرونده نمونه ELF است که در فوریه 2021 کشف شده، نشات گرفته است. سایر شاخص های سازش در ارتباط با بدافزار را می توان با یک جستجوی ساده مشاهده کرد.
برچسب ها: جونیپر نتورکز, روت کیت, Dropper, CWP, Shell, Netlab, Facefish, بک دور, Linux, لینوکس, Juniper Networks, command and control, cybersecurity, Rootkit, backdoor, امنیت سایبری, Cyber Attacks, حمله سایبری