FontOnLake: Bisher unbekannte Schadsoftware-Familie, die gen Linux abzielt
ESET-Forscher erspähen eine Schadsoftware-Familie mit Tools, die Vorzeichen hierfür zeigen, dass sie im Zusammenhang gezielten Angriffen eingesetzt werden
ESET-Forscher nach sich ziehen eine bisher unbekannte Schadsoftware-Familie entdeckt, die benutzerdefinierte und gut gestaltete Module verwendet und gen Systeme abzielt, gen denen Linux umgesetzt wird. Module, die von dieser Schadsoftware-Familie, die wir FontOnLake nennen, verwendet werden, werden ständig weiterentwickelt und eröffnen den Betreibern Fernzugriff, vereinen Anmeldeinformationen und fungieren qua Proxy-Server. In diesem Blogpost fassen wir die in unserem Whitepaper veröffentlichten Ergebnisse zusammen.
Um Information (z. B. SSH-Anmeldeinformationen) zu vereinen oder andere bösartige Aktivitäten durchzuführen, verwendet welche Schadsoftware-Familie modifizierte legitime Binärdateien, die zugeschnitten sind, um weitere Komponenten zu laden. Um seine Existenz zu verbergen, wird die Präsenz von FontOnLake immer von einem Rootkit begleitet. Welche Binärdateien wie Katze, töten oder sshd werden vielmals gen Linux-Systemen verwendet und können zusätzlich qua Persistenzmechanismus fungieren.
Die hinterhältige Natur welcher Tools von FontOnLake in Komposition mit fortschrittlichem Konzept und weniger bedeutend Verbreitung lassen darauf schließen, dass sie im Zusammenhang gezielten Angriffen eingesetzt werden.
Die erste bekannte File dieser Schadsoftware-Familie erschien im vergangenen Mai gen VirusTotal und weitere Beispiele wurden im Laufe des Jahres hochgeladen. Welcher Standort des Kohlenstoff&Kohlenstoff-Servers und die Länder, aus denen die Proben gen VirusTotal hochgeladen wurden, weisen notfalls darauf hin, dass zu den Zielen Südostasien gehört.
Wir Vertrauen schenken, dass die Betreiber von FontOnLake vornehmlich vorsichtig sind, da sozusagen leer beobachteten Beispiele einzigartige Kohlenstoff&Kohlenstoff-Server mit unterschiedlichen, nicht standardmäßigen Ports verwenden. Die Autoren verwenden hauptsächlich Kohlenstoff/Kohlenstoff++ und verschiedene Bibliotheken von Drittanbietern wie Boost, Poco oder Protobuf. Keiner welcher Kohlenstoff&Kohlenstoff-Server, die in gen VirusTotal hochgeladenen Beispielen verwendet wurden, war zum Zeitpunkt des Schreibens angeschaltet – welches darauf hindeutet, dass sie aufgrund des Hochladens hätten deaktiviert werden können.
Bekanntschaften Komponenten von FontOnLake
Die derzeit bekannten Komponenten von FontOnLake lassen sich in drei folgende Gruppen teilen, die miteinander interagieren:
- Trojanisierte Anwendungen – modifizierte legitime Binärdateien, die zugeschnitten sind, um weitere Komponenten zu laden, Information zu vereinen oder andere bösartige Aktivitäten durchzuführen.
- Hintertüren – Benutzermodus-Komponenten, die qua Hauptkommunikationspunkt zum Besten von die Betreiber fungieren.
- Rootkits – Kernel-Modus-Komponenten, die ihre Dasein meist verbergen und verschleiern, im Zusammenhang Updates helfen oder Fallback-Backdoors bewilligen.
Trojanisierte Anwendungen
Wir nach sich ziehen mehrere trojanisierte Anwendungen entdeckt; Sie werden hauptsächlich verwendet, um benutzerdefinierte Backdoor- oder Rootkit-Module zu laden. Darüber hinaus können sie wenn schon sensible Information vereinen. Patches welcher Anwendungen werden sehr wahrscheinlich gen Quellcodeebene angewendet, welches darauf hindeutet, dass die Anwendungen kompiliert und die ursprünglichen ersetzt worden sein zu tun sein.
Nicht mehr da trojanisierten Dateien sind Standard-Linux-Dienstprogramme und fungieren jeweils qua Persistenzmethode, da sie normalerweise beim Systemstart umgesetzt werden. Welcher ursprüngliche Weg, gen dem welche trojanisierten Anwendungen zu ihren Opfern gelangen, ist nicht publiziert.
Die Kommunikation einer trojanisierten Gebrauch mit ihrem Rootkit läuft via eine virtuelle File, die vom Rootkit erstellt und verwaltet wird. Wie in Fotografie 1 dargestellt, können Information aus welcher/in die virtuelle File gelesen/geschrieben und gen Antrag des Bedieners mit ihrer Hintertürkomponente exportiert werden.
Fotografie 1. Wechselbeziehung welcher Komponenten von FontOnLake
Hintertüren
Die drei verschiedenen Backdoors, die wir entdeckt nach sich ziehen, sind in Kohlenstoff++ geschrieben und leer verwenden, wenn wenn schon gen leichtgewichtig unterschiedliche Weise, dieselbe Asio-Bibliothek von Boost zum Besten von asynchrone Netzwerke und Low-Level-I/O. Poco, Protobuf und Funktionen von STL wie Smart Zeigergerät werden ebenfalls verwendet. Welches im Zusammenhang Schadsoftware selten ist, ist die Tatsache, dass welche Hintertüren wenn schon eine Schlange von Software-Designmustern herausstellen.
Die Funktionsvielfalt, die sie leer verbinden nach sich ziehen, besteht darin, dass jeder die gesammelten Anmeldeinformationen und seinen Bash-Befehlsverlauf in seinen Kohlenstoff&Kohlenstoff exfiltriert.
In Anbetracht einiger überlappender Funktionen werden welche verschiedenen Hintertüren sehr wahrscheinlich nicht zusammen gen einem kompromittierten System verwendet.
Nicht mehr da Hintertüren verwenden zusätzlich benutzerdefinierte Heartbeat-Befehle, die regelmäßig gesendet und empfangen werden, um die Verpflichtung aufrechtzuerhalten.
Die Gesamtfunktionalität dieser Hintertüren besteht aus den folgenden Methoden:
- Exfiltrieren welcher gesammelten Information
- Erstellen einer Kontaktbolzen zwischen einem benutzerdefinierten SSH-Server, welcher lokal umgesetzt wird, und seinem Kohlenstoff&Kohlenstoff
- Behauen von Dateien (z. B. Uploaden/Herunterladen, Erstellen/Löschen, Verzeichnisauflistung, Ändern von Attributen usw.)
- Qua Stellvertreter fungieren
- Darstellen beliebiger Shell-Befehle und Pythonschlange-Skripte
Rootkit
Wir entdeckten in jeder welcher drei Hintertüren zwei nicht ins Gewicht fallend unterschiedliche Versionen des Rootkits, die jeweils nur einzeln verwendet wurden. Es gibt erhebliche Unterschiede zwischen diesen beiden Rootkits; manche Aspekte von ihnen überschneiden sich jedoch. Obwohl die Rootkit-Versionen gen dem Open-Source-Projekt suterusu basieren, enthalten sie manche welcher exklusiven, benutzerdefinierten Techniken von FontOnLake.
Die kombinierte Funktionsvielfalt welcher beiden von uns entdeckten Versionen des Rootkits umfasst:
- Prozess ausblenden
- File ausblenden
- Sich verstecken
- Ausblenden von Netzwerkverbindungen
- Offenlegung welcher gesammelten Anmeldeinformationen seiner Hintertür
- Portweiterleitung machen
- Empfang von magischen Paketen (Magische Pakete sind speziell gestaltete Pakete, die dies Rootkit anweisen können, eine andere Hintertür herunterzuladen und auszuführen)
Nachher unserer Feststellung im Zusammenhang welcher Komplettierung unseres Whitepapers zu diesem Themenkreis nach sich ziehen Lieferant wie Tencent Security Response Center, Avast und Lacework Labs veröffentlichten ihre Forschungsergebnisse zu offenkundig welcher gleichen Schadsoftware.
Nicht mehr da bekannten Komponenten von FontOnLake werden von ESET-Produkten qua Linux/FontOnLake erkannt. Unternehmen oder Einzelpersonen, die ihre Linux-Endpunkte oder -Server vor dieser Gefahr schützen möchten, sollten ein mehrschichtiges Sicherheitsprodukt und eine aktualisierte Version ihrer Linux-Distribution verwenden. Wenige welcher von uns analysierten Beispiele wurden speziell zum Besten von CentOS und Debian erstellt.
In welcher Vergangenheit nach sich ziehen wir eine Operation beschrieben, die bestimmte Verhaltensmuster mit FontOnLake teilte; sein Umfang und seine Wirkung waren jedoch viel größer. Wir nach sich ziehen es Operation Windigo getauft und Sie können weitere Informationen dazu in diesem Whitepaper und diesem Folge-Blogpost finden.
Weitere technische Einzelheiten zu FontOnLake finden Sie in unserem umfangreichen Whitepaper.
IoCs
Proben
| SHA-1 | Erläuterung | Erkennungsname |
|---|---|---|
| 1F52DB8E3FC3040C017928F5FFD99D9FA4757BF8 | Trojanisiert Katze | Linux/FontOnLake |
| 771340752985DD8E84CF3843C9843EF7A76A39E7 | Trojanisiert töten | |
| 27E868C0505144F0708170DF701D7C1AE8E1FAEA | Trojanisiert sftp | |
| 45E94ABEDAD8C0044A43FF6D72A5C44C6ABD9378 | Trojanisiert sshd | |
| 1829B0E34807765F2B254EA5514D7BB587AECA3F | Flexibel sshd | |
| 8D6ACA824D1A717AE908669E356E2D4BB6F857B0 | Flexibel sshd | |
| 38B09D690FAFE81E964CBD45EC7CF20DCB296B4D | Hintertür 1 Variante 1 | |
| 56556A53741111C04853A5E84744807EEADFF63A | Hintertür 1 Variante 2 | |
| FE26CB98AA1416A8B1F6CED4AC1B5400517257B2 | Hintertür 1 Variante 3 | |
| D4E0E38EC69CBB71475D8A22EDB428C3E955A5EA | Hintertür 1 Variante 4 | |
| 204046B3279B487863738DDB17CBB6718AF2A83A | Backdoor 2 Variante 1 | |
| 9C803D1E39F335F213F367A84D3DF6150E5FE172 | Backdoor 2 Variante 2 | |
| BFCC4E6628B63C92BC46219937EA7582EA6FBB41 | Backdoor 2 Variante 3 | |
| 515CFB5CB760D3A1DA31E9F906EA7F84F17C5136 | Backdoor 3 Variante 4 | |
| A9ED0837E3AF698906B229CA28B988010BCD5DC1 | Backdoor 3 Variante 5 | |
| 56CB85675FE7A7896F0AA5365FF391AC376D9953 | Rootkit 1 Version 1 | |
| 72C9C5CE50A38D0A2B9CEF6ADEAB1008BFF12496 | Rootkit 1 Version 2 | |
| B439A503D68AD7164E0F32B03243A593312040F8 | Rootkit 1 Version 3 | |
| E7BF0A35C2CD79A658615E312D35BBCFF9782672 | Rootkit 1 Version 4 | |
| 56580E7BA6BF26D878C538985A6DC62CA094CD04 | Rootkit 1 Version 5 | |
| 49D4E5FCD3A3018A88F329AE47EF4C87C6A2D27A | Rootkit 1-Version 5 | |
| 74D44C2949DA7D5164ADEC78801733680DA8C110 | Rootkit 2 Version 1 | |
| 74D755E8566340A752B1DB603EF468253ADAB6BD | Rootkit 2 Version 2 | |
| E20F87497023E3454B5B1A22FE6C5A5501EAE2CB | Rootkit 2 Version 3 | |
| 6F43C598CD9E63F550FF4E6EF51500E47D0211F3 | inject.so |
Kohlenstoff&Cs
Genug damit Proben:
47.107.60[.]212
47.112.197[.]119
156.238.111[.]174
172.96.231[.]69
hm2.yrnykx[.]com
ywbgrcrupasdiqxknwgceatlnbvmezti[.]com
yhgrffndvzbtoilmundkmvbaxrjtqsew[.]com
wcmbqxzeuopnvyfmhkstaretfciywdrl[.]Name
ruciplbrxwjscyhtapvlfskoqqgnxevw[.]Name
pdjwebrfgdyzljmwtxcoyomapxtzchvn[.]com
nfcomizsdseqiomzqrxwvtprxbljkpgd[.]Name
hkxpqdtgsucylodaejmzmtnkpfvojabe[.]com
etzndtcvqvyxajpcgwkzsoweaubilflh[.]com
esnoptdkkiirzewlpgmccbwuynvxjumf[.]Name
ekubhtlgnjndrmjbsqitdvvewcgzpacy[.]Name
Vom internetweiten Scan:
27.102.130[.]63
Dateinamen
/lib/modules/%VARIABLE%/kernel/drivers/input/misc/ati_remote3.ko
/etc/sysconfig/modules/ati_remote3.modules
/tmp/.tmp_%RANDOM%
Virtuelle Dateinamen
/proc/.dot3
/proc/.inl
MITRE ATT&CK-Techniken
Welche Tabelle wurde mit Version 9 des ATT&CK-Frameworks erstellt.
| Taktik | ICH WÜRDE | Name | Erläuterung |
|---|---|---|---|
| Erster Zugriff | T1078 | Gültige Konten | FontOnLake kann mindestens SSH-Anmeldeinformationen vereinen. |
| Vollstreckung | T1059.004 | Befehls- und Skriptinterpreter: Unix Shell | FontOnLake ermöglicht die Vollstreckung von Unix-Shell-Befehligen. |
| T1059.006 | Befehls- und Skriptinterpreter: Pythonschlange | FontOnLake ermöglicht die Vollstreckung beliebiger Pythonschlange-Skripte. | |
| T1106 | Native API | FontOnLake verwendet Gabel() um zusätzliche Prozesse zu erstellen, wie z sshd. | |
| T1204 | Benutzerausführung | FontOnLake trojanisiert Standardtools wie Katze selbst auszuführen. | |
| Sturheit | T1547.006 | Schiff- oder Logon-Autostart-Vollstreckung: Kernel-Module und -Erweiterungen | Eines welcher Rootkits von FontOnLake kann mit einem Startskript umgesetzt werden. |
| T1037 | Schiff- oder Logon-Initialisierungsskripte | FontOnLake erstellt ein Systemstartskript ati_remote3.modules. | |
| T1554 | Kompromittieren Sie die Binärdatei welcher Client-Software | FontOnLake modifiziert mehrere Standard-Binärdateien, um Persistenz zu gelingen. | |
| Verteidigungsflucht | T1140 | Enthüllen/Dekodieren von Dateien oder Informationen | Wenige Backdoors von FontOnLake können AES-verschlüsselte und serialisierte Kommunikation entschlüsseln und verschlüsselte Kohlenstoff&Kohlenstoff-Adressen base64 entschlüsseln. |
| T1222.002 | Tapetenwechsel von File- und Verzeichnisberechtigungen: Tapetenwechsel von File- und Verzeichnisberechtigungen zum Besten von Linux und Mac | Die Hintertür von FontOnLake kann die Berechtigungen welcher File ändern, die umgesetzt werden soll. | |
| T1564 | Artefakte ausblenden | FontOnLake versteckt seine Verbindungen und Prozesse mit Rootkits. | |
| T1564.001 | Artefakte ausblenden: Versteckte Dateien und Verzeichnisse | FontOnLake versteckt seine Dateien mit Rootkits. | |
| T1027 | Verschleierte Dateien oder Informationen | FontOnLake packt seine ausführbaren Dateien mit UPX. | |
| T1014 | Rootkit | FontOnLake verwendet Rootkits, um dies Vorhandensein seiner Prozesse, Dateien, Netzwerkverbindungen und Viehtreiber zu verbergen. | |
| Zugang zu Anmeldeinformationen | T1556 | Authentifizierungsprozess ändern | FontOnLake ändert sshd Zeugnisse zu vereinen. |
| Feststellung | T1083 | File- und Verzeichniserkennung | Eine welcher Hintertüren von FontOnLake kann Dateien und Verzeichnisse listen. |
| T1082 | Systeminformationserkennung | FontOnLake kann Systeminformationen vom Computer des Opfers vereinen. | |
| Seitliche Fortbewegung | T1021.004 | Remote-Dienste: SSH | FontOnLake sammelt ssh-Zugangsdaten und beabsichtigt sehr wahrscheinlich, sie zum Besten von seitliche Bewegungen zu verwenden. |
| Steuerung und Test | T1090 | Stellvertreter | FontOnLake kann qua Proxy fungieren. |
| T1071.001 | Application Layer Protocol: Webprotokolle | FontOnLake bezieht zusätzliche Kohlenstoff&Kohlenstoff-Server via Hypertext Transfer Protocol. | |
| T1071.002 | Application Layer Protocol: Dateiübertragungsprotokolle | FontOnLake kann zusätzliche Pythonschlange-Dateien herunterladen, die via FTP umgesetzt werden. | |
| T1132.001 | Datenkodierung: Standardkodierung | FontOnLake verwendet base64, um HTTPS-Eingehen zu programmieren. | |
| T1568 | Dynamische Granularität | FontOnLake kann Hypertext Transfer Protocol verwenden, um Ressourcen herunterzuladen, die ein Paar aus IP-Anschrift und Portnummer enthalten, um eine Verpflichtung zu diesem herzustellen und seinen Kohlenstoff&Kohlenstoff abzurufen. Es kann dynamische DNS-Granularität verwenden, um eine zufällig manche Fachrichtung zu erstellen und in welche aufzulösen. | |
| T1573.001 | Verschlüsselter Wasserstraße: Symmetrische Kryptographie | FontOnLake verwendet AES, um die Kommunikation mit seinem Kohlenstoff&Kohlenstoff zu verschlüsseln. | |
| T1008 | Fallback-Kanäle | FontOnLake kann dynamische DNS-Granularität verwenden, um eine zufällig manche Fachrichtung zu erstellen und aufzulösen. Eines seiner Rootkits lauscht wenn schon gen speziell gestaltete Pakete, die es anweisen, zusätzliche Dateien herunterzuladen und auszuführen. Es verbindet sich wenn schon mit einem Kohlenstoff&Kohlenstoff und akzeptiert Verbindungen gen allen Schnittstellen. | |
| T1095 | Nicht-Anwendungsschichtprotokoll | FontOnLake verwendet TCP zum Besten von die Kommunikation mit seinem Kohlenstoff&Kohlenstoff. | |
| T1571 | Nicht-Standard-Port | Sozusagen jedes Paradigma von FontOnLake verwendet zusammenführen einzigartigen, nicht standardmäßigen Port. | |
| Exfiltration | T1041 | Exfiltration via C2-Wasserstraße | FontOnLake verwendet seine Kohlenstoff&Kohlenstoff, um gesammelte Information zu exfiltrieren. |
