سرقت اعتبار ورود به سیستم و اجرای دستورات دلخواه در سیستمهای لینوکسی با دربپشتی Facefish
محققان امنیت سایبری تیم Qihoo 360 NETLAB اخیراً دربپشتی جدیدی از لینوکس را کشف کرده اند که به آن "Facefish" گفته می شود. کارشناسان ادعا کرده اند که این دربپشتی جدید توانایی سرقت اطلاعات دستگاه کاربر و اعتبار ورود به سیستم را دارد و حتی می تواند دستورات دلخواه را بر روی سیستمهای لینوکسی آلوده نیز اجرا کند. با سوء استفاده از این دربپشتی جدید Facefish، یک عامل تهدید می تواند ارتباطات مربوط به سرور کنترل شده توسط مهاجم را با کمک رمزنگاری Blowfish رمزگذاری کند و نه تنها این مورد، حتی به مهاجم اجازه می دهد تا چندین rootkit را در زمان های مشخص به سیستمهای بفرست. دربپشتی Facefish از دو ماژول اصلی تشکیل شده است: • Dropper • Rootkit هدف یا عملکرد اصلی ماژول Rootkit شناسایی هدف یا عملکرد اصلی دربپشتی Facefish است. با کمک ویژگی LD_PRELOAD ماژول Rootkit بارگیری می شود و در Ring 3 لایه این ماژول کار می کند. با بهره برداری از ویژگی LD_PRELOAD، ماژول Rootkit از Facefish اطلاعات مروبط به دسترسی ssh / sshd را برای سرقت اعتبار ورود کاربران در سیستم های آسیب دیده می رباید. عملکردهای اصلی Facefish عملکردهای اصلی دربپشتی Facefish در زیر ذکر شده است: • بار گذاری کردن اطلاعات دستگاه • سرقت اعتبار کاربری • دسترسی به shell • اجرا کردن دستورات دلخواه علاوه بر این، Rootkit ممکن است به یک خطر جدی تبدیل شود، زیرا در سیستم آلوده به یک عامل تهدید کمک می کند تا سطح دسترسی بالایی کسب کند و با توجه به سطح دسترسی بالا، مهاجم همچنین می تواند فعالیتهای روتین و اصلی سیستم عامل را به خطر بیندازد. اطلاعات دربپشتی Facefish MD5 38fb322cc6d09a6ab85784ede56bc5a7 sshins d6ece2d07aa6c0a9e752c65fbe4c4ac2 libs.so C&C 176.111.174.26:443 تهیه و تدوین: تینا احمدی
مرکز ماهر
دانشگاه کردستان