CIBERTIPS Y NOTICIAS DE CIBERSEGURIDAD

Información para todos

Facefish: un nuevo ‘rootkit’ que afecta a Linux

Un informe publicado recientemente por Netlab 360 analiza un ‘rootkit’ que afecta a entornos Linux, con capacidad para robar credenciales ssh en los sistemas infectados.

El ‘dropper’ ha sido denominado Facefish por los investigadores a raíz de su capacidad para distribuir diferentes ‘rootkits’ y usar cifrado Blowfish para cifrar las comunicaciones con el C2.

Facefish consiste en dos partes, el ‘dropper’ y el ‘rootkit’. Este último trabaja en espacio de usuario (Ring 3), y se activa mediante la precarga de librerías (LD_PRELOAD). Una vez en funcionamiento monitoriza llamadas a funciones de los programas ssh/sshd, capturando sus credenciales.

El análisis de Netlab amplía el realizado por Juniper Networks el pasado mes de abril, que documentaba el ataque al proyecto Control Web Panel (anteriormente CentOS Web Panel), que servía como punto de entrada a Facefish.

Por su parte, el ‘dropper’ es el encargado de descifrar la configuración y configurar el ‘rootkit’, almacenándolo en el directorio «/lib64/libs.so» y ajustando el fichero «/etc/ld.so.preload», que forzará su carga cada vez que se ejecute cualquier programa.

Los ‘rootkits’ son especialmente peligrosos, ya que permiten a los atacantes obtener privilegios elevados, al interferir con el funcionamiento de aplicaciones sensibles. Además, la capacidad de camuflarse como parte del sistema operativo les proporciona un alto grado de sigilo y evasión.

Facefish emplea un protocolo propio de comunicación con el C2 (Command & Control), cifrado con el algoritmo Blowfish. Entre las funciones implementadas destacan la posibilidad de generar una ‘shell’ reversa en el sistema, o la ejecución de comandos arbitrarios.

 

Créditos: Julián J. Menéndez

Tags:

Cursos Online

-Compartir en redes-

Plataforma de capacitación

 

 

Nosotros

Somos una organización 100% MEXICANA cuyo objetivo es asesorar a las organizaciones en las mejores
prácticas de seguridad de la información.

Contacto

email: contacto@ameci.org

Ciudad de México, 06140

Calle Tamaulipas, Colonia Condesa

México, CDMX

Inscripción a boletín de noticias