研究人员警告Facefish会通过后门传播Linux Rootkit

网络安全研究人员披露了一种新的后门程序，能够窃取用户登录凭证、设备信息，并在Linux系统上执行任意命令。

恶意软件滴管被称为“面鱼“Qihoo 360 NETLAB团队能够在不同时间交付不同的rootkit，并使用Blowfish密码加密与攻击者控制的服务器的通信。

研究人员说：“Facefish由Dropper和Rootkit两部分组成，其主要功能由Rootkit模块决定，该模块在Ring 3层工作，使用LD_预加载功能加载，通过挂钩ssh/sshd程序相关功能窃取用户登录凭据，还支持一些后门功能。”。

NETLAB的研究建立在Juniper Networks于4月26日发布的先前分析的基础上，该分析记录了一个针对控制Web面板（CWP，前身为CentOS Web Panel）的攻击链，该攻击链旨在为SSH植入注入数据过滤功能。

Facefish经历了一个多阶段的感染过程，首先是针对CWP的命令注入，从远程服务器检索滴管（“sshins”），然后释放一个rootkit，最终负责收集敏感信息并将其传输回服务器，除了等待指挥与控制（C2）服务器发出的进一步指示。

虽然攻击者利用该漏洞进行初始攻击的确切漏洞尚不清楚，但Juniper指出，CWP一直受到数十个安全问题的困扰，并补充说源代码的“故意加密和混淆”使得“很难确定哪些版本的CWP易受此攻击或仍然易受此攻击”

就dropper而言，它有自己的一组任务，主要包括检测运行时环境、解密配置文件以获取C2信息、配置rootkit，以及通过将其注入安全shell服务器进程（sshd）来启动rootkit。

rootkit尤其危险，因为它们允许攻击者在系统中获得提升的权限，从而干扰底层操作系统执行的核心操作。rootkit在操作系统结构中的这种伪装能力使攻击者具有高度的隐蔽性和规避能力。

Facefish还采用了复杂的通信协议和加密算法，使用从0x2XX开始的指令交换公钥，并使用BlowFish与C2服务器加密通信数据。服务器发送的一些C2命令如下-

• 0x300-报告被盗的凭证信息
• 0x301-收集“uname”命令的详细信息
• 0x302-运行反向shell
• 0x310-执行任何系统命令
• 0x311-发送bash执行的结果
• 0x312-报告主机信息

NETLabor的发现来自于2021年2月检测到的ELF样本文件的分析。与恶意软件相关的其他危害指标可在此处访问。