Un informe publicado recientemente por Netlab 360 analiza un ‘rootkit’ que afecta a entornos Linux, con capacidad para robar credenciales ssh en los sistemas infectados.
El ‘dropper’ ha sido denominado Facefish por los investigadores a raíz de su capacidad para distribuir diferentes ‘rootkits’ y usar cifrado Blowfish para cifrar las comunicaciones con el C2.
Facefish consiste en dos partes, el ‘dropper’ y el ‘rootkit’. Este último trabaja en espacio de usuario (Ring 3), y se activa mediante la precarga de librerías (LD_PRELOAD). Una vez en funcionamiento monitoriza llamadas a funciones de los programas ssh/sshd, capturando sus credenciales.
El análisis de Netlab amplía el realizado por Juniper Networks el pasado mes de abril, que documentaba el ataque al proyecto Control Web Panel (anteriormente CentOS Web Panel), que servía como punto de entrada a Facefish.
Por su parte, el ‘dropper’ es el encargado de descifrar la configuración y configurar el ‘rootkit’, almacenándolo en el directorio «/lib64/libs.so» y ajustando el fichero «/etc/ld.so.preload», que forzará su carga cada vez que se ejecute cualquier programa.
Los ‘rootkits’ son especialmente peligrosos, ya que permiten a los atacantes obtener privilegios elevados, al interferir con el funcionamiento de aplicaciones sensibles. Además, la capacidad de camuflarse como parte del sistema operativo les proporciona un alto grado de sigilo y evasión.
Facefish emplea un protocolo propio de comunicación con el C2 (Command & Control), cifrado con el algoritmo Blowfish. Entre las funciones implementadas destacan la posibilidad de generar una ‘shell’ reversa en el sistema, o la ejecución de comandos arbitrarios.