Fokirtor - nowy Backdoor na Linuxa

Symantec wykrył backdoora na Linuxie który potrafi samodzielnie zaimplementować ukryty protokół komunikacyjny aby ukryć swoją obecność. Prawdopodobnie ten sam złośliwy kod został użyty do zhakowania serwerowni Hetzner w maju. 

Backdoora ciężko jest wykryć ponieważ wstrzykuje swoją transmisje w istniejący ruch SSH (który jest de facto szyfrowany). Atakujący użyli backoora w celu wykradzenia bazy danych klientów szyfrując połączenie algorytmem Blowfish. Złośliwy kod na zainfekowanym serwerze zbiera informacje takie jak hostname, IP address, port, hasło, klucz SSH i nazwę użytkownika, które następnie szyfruje i wysyła do C&C.

Symantec zdradza że implementacja takiego backdoora była spowodowana tym że atakujący byli świadomi zaawansowanego poziomu bezpieczeństwa sieci i użyli go w celu uniknięcia wykrycia poprzez systemy bezpieczeństwa.

“This backdoor allowed an attacker to perform the usual functionality — such as executing remote commands — however, the backdoor did not open a network socket or attempt to connect to a command-and-control server (C&C). Rather, the backdoor code was injected into the SSH process to monitor network traffic and look for the following sequence of characters: colon, exclamation mark, semi-colon, period (“:!;.”). After seeing this pattern, the back door would parse the rest of the traffic and then extract commands which had been encrypted with Blowfish and Base64 encoded.”

W celu uniknięcia wykrycia Backdoor praktycznie nie używa własnego kanału komunikacji, zamiast tego wykorzystuje poszczególne sekwencje znaków do wstrzykiwania własnego ruchu w ramach legalnych danych wymienianych w trakcie połączenia SSH.

Symantec podkreśla że tego rodzaju Backdoor różni się od wcześniej wykrytych i sugeruje nową taktykę obieraną przez cyber przestępców w budowaniu złośliwych kodów.

Symantec opublikował skrypt który pozwoli na sprawdzenie czy mamy zainfekowany komputer

Blazej Malczak