0xNews - 리눅스 루트킷 Facefish 백도어 경고
0xNews - 리눅스 루트킷 Facefish 백도어 공격 경고 Qihoo 360 NETLAB 발표 https://blog.netlab.360.com/ssh_stealer_facefish_en/ Facefish 로 명명 사용자 로그인 자격 증명 탈취, 기기 정보 탈취, 리눅스 시스템에 임의 명령 실행하는 백도어 Blowfish 암호를 사용하여 공격자가 제어하는 서버와의 암호화 통신을 하기에 발견하기 쉽지 않음 Facefish 는 Dropper 와 Rootkit 두 부분으로 구성 주요 기능은 Rootkit 모듈에 의해 결정 Ring3 계층에서 작동하며 LD_PRELOAD 기능을 사용하여 로드 ssh / sshd 프로그램 관련 기능을 후킹하여 사용자 로그인 자격 증명 탈취 시도 또한 일부 백도어 기능 지원 Facefish 는 원격 서버에서 Dropper 검색을 위해 CWP Control Web Panel 에 대한 명령 주입 Command Injection 으로 시작되는 다단계 감염 프로세스를 거침 C2 Command & Control 서버에서 발생한 추가 명령을 대기하는 것 외 민감 정보를 수집하고 전송하는 Rootkit 해제 Dropper 는 자체 작업 세트와 함께 제공되며 런타임 환경을 감지하고 구성 파일을 해독 C2 정보를 가져오고 Rootkit 을 구성 이를 sshd 에 인젝션하여 Rootkit 시작 Dropper 주요 특징 루트킷 Rootkit 은 공격자가 시스템에서 상승된 권한을 획득 기본 운영체제에서 수행하는 핵심 작업을 방해 루트킷이 운영체제의 구조를 위장하는 이러한 능력은 공격자에게 높은 수준의 은폐와 회피를 제공 Facefish 는 0x2XX 로 시작하는 명령을 사용하여 공개키를 교환 C2 서버와 통신 데이터를 암호화하는 BlowFish 사용하는 복잡한 통신 프로토콜과 암호화 알고리즘을 사용 다음은 서버에서 보낸 C2 명령 중 일부 0x300 탈취한 자격 증명 정보 보고 0x301 uname 명령에 대한 상세 정보 수집 0x302 리버스