อันตราย Facefish Backdoor ที่แพร่กระจาย Linux Rootkits

researchers-warn-of-facefish-backdoor.jp

อ้างอิง https://thehackernews.com/

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยโปรแกรม Backdoor ตัวใหม่ที่สามารถขโมยข้อมูลการเข้าสู่ระบบของผู้ใช้งาน ข้อมูลอุปกรณ์ และดำเนินการรันคำสั่งระยะไกลบนระบบ Linux ได้สำเร็จ

 

ทีมงาน Qihoo 360 NETLAB เรียก มัลแวร์ Dropper ว่า "Facefish" เนื่องจากความสามารถในการส่งมอบ Rootkit ในเวลาที่แตกต่างกันและการใช้การเข้ารหัสแบบ Blowfish [1] เพื่อเข้ารหัสลับการสื่อสารไปยังเครื่องเซิร์ฟเวอร์ที่ผู้ไม่ประสงค์ดีควบคุมอยู่

 

นักวิจัยกล่าวว่า "Facefish ประกอบด้วย 2 ส่วนคือ Dropper [2] และ Rootkit [3] และฟังก์ชันหลักถูกกำหนดโดยโมดูล Rootkit ซึ่งทำงานที่เลเยอร์ Ring 3 [3] และโหลดโดยใช้คุณสมบัติ LD_PRELOAD [4] เพื่อขโมยข้อมูลการเข้าสู่ระบบของผู้ใช้งาน โดยเชื่อมโยงไปยังฟังก์ชันที่เกี่ยวข้องกับโปรแกรม ssh/sshd ไปยังเครื่องเซิร์ฟเวอร์และยังรองรับฟังก์ชัน Backdoor อีกด้วย

 

การวิจัยของ NETLAB สร้างขึ้นจากการวิเคราะห์ก่อนหน้านี้ที่เผยแพร่โดย Juniper Networks [5] เมื่อวันที่ 26 เมษายน 2564 ซึ่งเป็นเอกสารเกี่ยวกับการโจมตีที่กำหนดเป้าหมายไปที่ (CWP เดิมชื่อ CentOS Web Panel) เพื่อแทรกคำสั่งบนโพรโทคอล SSH และขโมยข้อมูลต่าง ๆ ที่ต้องการ

 

Facefish จำเป็นต้องผ่านกระบวนการหลายขั้นตอนในการติดไวรัส  ซึ่งเริ่มต้นด้วยการส่งคำสั่งกับ CWP เพื่อดึง dropper ("sshins") จากเซิร์ฟเวอร์ของผู้ไม่ประสงค์ดี แล้วทำการปล่อย rookit เข้าสู่ระบบปฏิบัติการ Linux เพื่อทำการรวบรวมและส่งข้อมูลสำคัญกลับไปยังเครื่องเซิร์ฟเวอร์ของผู้ไม่ประสงค์ดี

researchers-warn-of-facefish-backdoor-1.

อ้างอิง https://thehackernews.com/

Juniper ได้ตั้งข้อสังเกตว่า CWP ได้รับผลกระทบจากปัญหาด้านความปลอดภัยหลายสิบรูปแบบของปัญหาด้านความมั่นคงปลอดภัย "การเข้ารหัสและการ obfuscation" ของซอร์สโค้ดทำให้ "ยากที่จะตรวจสอบว่า CWP เป็นเวอร์ชันใดที่ยังคงเสี่ยงต่อการโจมตีนี้ "

 

ในส่วนของฟังก์ชัน  dropper จะมาพร้อมกับชุดคำสั่งในการตรวจจับสภาพแวดล้อมรันไทม์ เพื่อรับข้อมูลการถอดรหัสไฟล์และค่าคอนฟิกูเรชันต่าง ๆ เครื่องเซิร์ฟเวอร์ของผู้ไม่ประสงค์ดี เพื่อทำการกำหนดค่าการแทรกโปรแกรม rootkit ไปในกระบวนการทำงานเริ่มต้นบนโปรโตคอล sshd

 

ทำให้ rootkit เป็นอันตรายอย่างยิ่ง เนื่องจากทำให้ผู้ประสงค์ดีสามารถได้รับสิทธิ์ระดับสูงในระบบ ซึ่งช่วยให้พวกเขาสามารถเปลี่ยนแปลงหรือแทรกแซงกระบวนการทำงานหลักที่ดำเนินการบนระบบปฏิบัติการพื้นฐานได้ ความสามารถของ rootkit สามาถทำการแฝงตัวเข้าไปในโครงสร้างของระบบปฏิบัติการทำให้ผู้ไม่ประสงค์ดีมีระดับการหลบซ่อนและการหลบเลี่ยงในระดับสูง

 

Facefish ยังใช้โปรโตคอลการสื่อสารที่ซับซ้อนและอัลกอริทึมการเข้ารหัส 0x2XX เพื่อแลกเปลี่ยน public keys และ BlowFish สำหรับการเข้ารหัสข้อมูลการสื่อสารกับเซิร์ฟเวอร์ C2 คำสั่ง C2 บางคำที่เซิร์ฟเวอร์ส่ง มีดังนี้

  • 0x300 - รายงานข้อมูลรับรองที่ถูกขโมย

  • 0x301 - รวบรวมรายละเอียดของคำสั่ง "uname"

  • 0x302 - เรียกใช้เชลล์ย้อนกลับ

  • 0x310 - ใช้คำสั่งบนระบบ

  • 0x311 - ส่งผลลัพธ์ของคำสั่ง

  • 0x312 - รายงานข้อมูลโฮสต์

 

อ้างอิง: https://thehackernews.com/2021/05/researchers-warn-of-facefish-backdoor.html

[1]  https://th.wikipedia.org/wiki/โบลว์ฟิช

[2] https://en.wikipedia.org/wiki/Dropper_(malware)

[3] https://www.bitdefender.co.th/post/rootkit

[4] https://www.baeldung.com/linux/ld_preload-trick-what-is

[5] https://blogs.juniper.net/en-us/threat-research/linux-servers-hijacked-to-implant-ssh-backdoor

[6] https://www.exploit-db.com/exploits/45610

ผู้เขียน : นาย วสุพล ไชยสง่าศิลป์

ผู้ตรวจทาน : นายเจษฏา ทองก้านเหลือง

เผยแพร่ : วันที่ 8 มิถุนายน 2564