GNU/Linux Sistemleri Etkileyen Zararlı Yazılım Alarmı: Facefish

GNU/Linux dağıtımlarında keyfi komut çalıştırarak hassas veri hırsızlığı yapan Facefish adlı yeni bir Backdoor zararlısı tespit edilmiştir. Facefish, Dropper ve Rootkit olmak üzere 2 modülden oluşmaktadır. Ring 3 katmanında çalışan ve LD_PRELOAD özelliğini kullanarak yüklenen Facefish, hedeflenen bilgileri ssh/sshd servisi ile ilgili işlevlere odaklanarak oturum açma bilgilerini ele geçirmektedir.

Facefish, farklı zamanlarda ihtiyaca göre farklı Rootkit’ler (gizli ve zararlı programlar) kullanmaktadır ve komuta kontrol sunucusu (C2) ile haberleşmeyi Blowfish üzerinden gerçekleştirmektedir.

Facefish, Exchange Public Key değerlerini değiştirmek için 0x2xx ile başlayan komutlar kullanarak karmaşık bir iletişim protokolü ve şifreleme algoritması kullanmaktadır.

Saldırganların kontrolündeki sunuculardan gönderilen komutların (C2) bazıları aşağıda paylaşılmıştır:

0x300 – Ele geçirilen kimlik bilgilerinin raporlanması
0x301 – “uname” komutunun çıktılarının raporlanması
0x302 – Reverse Shell çalıştırılması
0x310 – Sistem komutlarının çalıştırılması
0x311 – Çalıştırılan bash komut çıktılarının yollanması
0x312 – Kullanıcı sistem bilgisinin raporlanması
Kritik zararlı yazılım saldırılarından etkilenmemek adına; GNU/Linux dağıtımlarının güncel versiyonlarının kullanılması, sistem yönetimi amacıyla kullanılan hesaplara ait güçlü parola politikalarının uygulanması ve şüpheli/sahte içerikli dosya eklerine karşı dikkatli olunması önerilmektedir. Ek olarak aşağıdaki IoC bulgularının güvenlik cihazları tarafından engellenmesi tavsiye edilmektedir.

IP:

176.111.174[.]26

URL:

hxxp://176.111.174[.]26/76523y4gjhasd6/sshins

FileHash-MD5:

38fb322cc6d09a6ab85784ede56bc5a7
d6ece2d07aa6c0a9e752c65fbe4c4ac2

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!