|
Linux 루트킷을 배포하는 Facefish 백도어 침해사고분석팀 2021.05.31 |
|
|
사이버 보안 연구원들이 사용자 로그인 자격 증명, 장치 정보를 훔치고 Linux 시스템에서 임의의 명령을 실행하는 새로운 백도어 프로그램을 발견했다.
이 멀웨어 드로퍼는 Qihoo 360 NETLAB 팀에서 "Facefish"라고 명명했다.
Facefish는 서로 다른 시간에 서로 다른 루트킷을 제공하는 기능과 Blowfish 암호를 사용하여 공격자가 제어하는 서버와의 통신을 암호화한다.
"Facefish는 Dropper와 Rootkit의 두 부분으로 구성되며 주요 기능은 Rootkit 모듈에 의해 결정됩니다. 이 모듈은 Ring 3계층에서 작동하며 LD_PRELOAD 기능을 사용해 로드되어 SSH/SSHD 프로그램 관련 기능을 후킹하여 사용자 로그인 자격 증명을 훔칩니다. 또한 일부 백도어 기능을 지원합니다. "라고 연구원이 말했다.
NETLAB 연구자료는 데이터 유출 기능이 있는 SSH 임플란트를 주입하기 위해 Control Web Panel(CWP, 이전 CentOS Web Panel)을 대상으로 하는 공격 체인을 문서화한 Juniper Networks가 4월 26일에 발표한 이전 분석을 기반으로 한다.
Facefish는 원격 서버에서 드로퍼("sshins")를 검색하기 위해 CWP에 대한 명령 삽입으로 시작되는 다단계 감염 프로세스를 거친다.
그러면 명령 및 제어 서버(C2)에서 전송한 추가 명령을 기다리는 것 외에도 궁극적으로 민감한 정보를 수집 및 전송하는 루트킷이 배포된다.
[그림1. 루트킷 배포 과정]
공격자가 초기 침해를 위해 악용한 취약점은 여전히 불분명하지만, Juniper는 CWP가 수십가지 보안 문제에 시달리고 있으며 소스 코드의 의도적인 암호화 및 난독화 과정을 추가하여 CWP의 버전을 확인하기가 어려웠다고 말한다.
드로퍼는 런타임 환경을 감지하고 구성 파일을 해독하여 C2 정보를 가져오며 루트킷을 구성하고 이를 보안 쉘 서버 프로세스(sshd)에 주입하여 루트킷을 실행한다.
루트킷은 공격자가 시스템에서 상승된 권한을 획득하여 기본 운영 체제에서 수행하는 핵심 작업을 방해할 수 있으므로 특히 위험하다.
루트킷이 운영 체제의 구조를 위장하는 이러한 능력은 공격자가 탐지를 회피할 수 있는 기회를 준다.
Facefish는 또한 0x2XX로 시작하는 명령을 사용하여 공개 키를 교환하고 C2 서버와 통신 데이터를 암호화하기 위해 BlowFish를 사용하는 복잡한 통신 프로토콜 및 암호화 알고리즘을 사용한다.
NETLAB의 이 발견은 2021년 2월에 탐지된 ELF 샘플 파일의 분석에서 언급된 바 있다.
출처 https://thehackernews.com/2021/05/researchers-warn-of-facefish-backdoor.html |
