0xNews - 리눅스 루트킷 Facefish 백도어 경고
0xNews - 리눅스 루트킷 Facefish 백도어 공격 경고
Qihoo 360 NETLAB 발표
https://blog.netlab.360.com/ssh_stealer_facefish_en/
Facefish 로 명명
사용자 로그인 자격 증명 탈취, 기기 정보 탈취, 리눅스 시스템에 임의 명령 실행하는 백도어
Blowfish 암호를 사용하여 공격자가 제어하는 서버와의 암호화 통신을 하기에 발견하기 쉽지 않음
Facefish 는 Dropper 와 Rootkit 두 부분으로 구성
주요 기능은 Rootkit 모듈에 의해 결정
Ring3 계층에서 작동하며 LD_PRELOAD 기능을 사용하여 로드
ssh / sshd 프로그램 관련 기능을 후킹하여 사용자 로그인 자격 증명 탈취 시도
또한 일부 백도어 기능 지원
Facefish 는 원격 서버에서 Dropper 검색을 위해 CWP Control Web Panel 에 대한 명령 주입 Command Injection 으로 시작되는 다단계 감염 프로세스를 거침
C2 Command & Control 서버에서 발생한 추가 명령을 대기하는 것 외 민감 정보를 수집하고 전송하는 Rootkit 해제
Dropper 는 자체 작업 세트와 함께 제공되며 런타임 환경을 감지하고 구성 파일을 해독
C2 정보를 가져오고 Rootkit 을 구성
이를 sshd 에 인젝션하여 Rootkit 시작
Dropper 주요 특징
루트킷 Rootkit 은 공격자가 시스템에서 상승된 권한을 획득
기본 운영체제에서 수행하는 핵심 작업을 방해
루트킷이 운영체제의 구조를 위장하는 이러한 능력은 공격자에게 높은 수준의 은폐와 회피를 제공
Facefish 는 0x2XX 로 시작하는 명령을 사용하여 공개키를 교환
C2 서버와 통신 데이터를 암호화하는 BlowFish 사용하는 복잡한 통신 프로토콜과 암호화 알고리즘을 사용
다음은 서버에서 보낸 C2 명령 중 일부
0x300
탈취한 자격 증명 정보 보고
0x301
uname 명령에 대한 상세 정보 수집
0x302
리버스 쉘 실행
0x310
모든 시스템 명령 실행
0x311
bash 실행 결과 보내기
0x312
호스트 정보 보고
이번 발표는 2021년 2월에 탐지된 ELF 샘플 파일의 분석 결과 중 일부
맬웨어와 관련된 다른 손상 지표 정보는 연구팀 발표 사이트에서 확인 가능
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.