Now Reading
FontOnLake: Bisher unbekannte Schadsoftware-Familie, die gen Linux abzielt

FontOnLake: Bisher unbekannte Schadsoftware-Familie, die gen Linux abzielt

FontOnLake: Bisher unbekannte Malware-Familie, die auf Linux abzielt

ESET-Forscher erspähen eine Schadsoftware-Familie mit Tools, die Vorzeichen hierfür zeigen, dass sie im Zusammenhang gezielten Angriffen eingesetzt werden

ESET-Forscher nach sich ziehen eine bisher unbekannte Schadsoftware-Familie entdeckt, die benutzerdefinierte und gut gestaltete Module verwendet und gen Systeme abzielt, gen denen Linux umgesetzt wird. Module, die von dieser Schadsoftware-Familie, die wir FontOnLake nennen, verwendet werden, werden ständig weiterentwickelt und eröffnen den Betreibern Fernzugriff, vereinen Anmeldeinformationen und fungieren qua Proxy-Server. In diesem Blogpost fassen wir die in unserem Whitepaper veröffentlichten Ergebnisse zusammen.

Um Information (z. B. SSH-Anmeldeinformationen) zu vereinen oder andere bösartige Aktivitäten durchzuführen, verwendet welche Schadsoftware-Familie modifizierte legitime Binärdateien, die zugeschnitten sind, um weitere Komponenten zu laden. Um seine Existenz zu verbergen, wird die Präsenz von FontOnLake immer von einem Rootkit begleitet. Welche Binärdateien wie Katze, töten oder sshd werden vielmals gen Linux-Systemen verwendet und können zusätzlich qua Persistenzmechanismus fungieren.

Die hinterhältige Natur welcher Tools von FontOnLake in Komposition mit fortschrittlichem Konzept und weniger bedeutend Verbreitung lassen darauf schließen, dass sie im Zusammenhang gezielten Angriffen eingesetzt werden.

Die erste bekannte File dieser Schadsoftware-Familie erschien im vergangenen Mai gen VirusTotal und weitere Beispiele wurden im Laufe des Jahres hochgeladen. Welcher Standort des Kohlenstoff&Kohlenstoff-Servers und die Länder, aus denen die Proben gen VirusTotal hochgeladen wurden, weisen notfalls darauf hin, dass zu den Zielen Südostasien gehört.

Wir Vertrauen schenken, dass die Betreiber von FontOnLake vornehmlich vorsichtig sind, da sozusagen leer beobachteten Beispiele einzigartige Kohlenstoff&Kohlenstoff-Server mit unterschiedlichen, nicht standardmäßigen Ports verwenden. Die Autoren verwenden hauptsächlich Kohlenstoff/Kohlenstoff++ und verschiedene Bibliotheken von Drittanbietern wie Boost, Poco oder Protobuf. Keiner welcher Kohlenstoff&Kohlenstoff-Server, die in gen VirusTotal hochgeladenen Beispielen verwendet wurden, war zum Zeitpunkt des Schreibens angeschaltet – welches darauf hindeutet, dass sie aufgrund des Hochladens hätten deaktiviert werden können.

Bekanntschaften Komponenten von FontOnLake

Die derzeit bekannten Komponenten von FontOnLake lassen sich in drei folgende Gruppen teilen, die miteinander interagieren:

  • Trojanisierte Anwendungen – modifizierte legitime Binärdateien, die zugeschnitten sind, um weitere Komponenten zu laden, Information zu vereinen oder andere bösartige Aktivitäten durchzuführen.
  • Hintertüren – Benutzermodus-Komponenten, die qua Hauptkommunikationspunkt zum Besten von die Betreiber fungieren.
  • Rootkits – Kernel-Modus-Komponenten, die ihre Dasein meist verbergen und verschleiern, im Zusammenhang Updates helfen oder Fallback-Backdoors bewilligen.

Trojanisierte Anwendungen

Wir nach sich ziehen mehrere trojanisierte Anwendungen entdeckt; Sie werden hauptsächlich verwendet, um benutzerdefinierte Backdoor- oder Rootkit-Module zu laden. Darüber hinaus können sie wenn schon sensible Information vereinen. Patches welcher Anwendungen werden sehr wahrscheinlich gen Quellcodeebene angewendet, welches darauf hindeutet, dass die Anwendungen kompiliert und die ursprünglichen ersetzt worden sein zu tun sein.

Nicht mehr da trojanisierten Dateien sind Standard-Linux-Dienstprogramme und fungieren jeweils qua Persistenzmethode, da sie normalerweise beim Systemstart umgesetzt werden. Welcher ursprüngliche Weg, gen dem welche trojanisierten Anwendungen zu ihren Opfern gelangen, ist nicht publiziert.

Die Kommunikation einer trojanisierten Gebrauch mit ihrem Rootkit läuft via eine virtuelle File, die vom Rootkit erstellt und verwaltet wird. Wie in Fotografie 1 dargestellt, können Information aus welcher/in die virtuelle File gelesen/geschrieben und gen Antrag des Bedieners mit ihrer Hintertürkomponente exportiert werden.

Fotografie 1. Wechselbeziehung welcher Komponenten von FontOnLake

Hintertüren

Die drei verschiedenen Backdoors, die wir entdeckt nach sich ziehen, sind in Kohlenstoff++ geschrieben und leer verwenden, wenn wenn schon gen leichtgewichtig unterschiedliche Weise, dieselbe Asio-Bibliothek von Boost zum Besten von asynchrone Netzwerke und Low-Level-I/O. Poco, Protobuf und Funktionen von STL wie Smart Zeigergerät werden ebenfalls verwendet. Welches im Zusammenhang Schadsoftware selten ist, ist die Tatsache, dass welche Hintertüren wenn schon eine Schlange von Software-Designmustern herausstellen.

Die Funktionsvielfalt, die sie leer verbinden nach sich ziehen, besteht darin, dass jeder die gesammelten Anmeldeinformationen und seinen Bash-Befehlsverlauf in seinen Kohlenstoff&Kohlenstoff exfiltriert.

In Anbetracht einiger überlappender Funktionen werden welche verschiedenen Hintertüren sehr wahrscheinlich nicht zusammen gen einem kompromittierten System verwendet.

Nicht mehr da Hintertüren verwenden zusätzlich benutzerdefinierte Heartbeat-Befehle, die regelmäßig gesendet und empfangen werden, um die Verpflichtung aufrechtzuerhalten.

Die Gesamtfunktionalität dieser Hintertüren besteht aus den folgenden Methoden:

  • Exfiltrieren welcher gesammelten Information
  • Erstellen einer Kontaktbolzen zwischen einem benutzerdefinierten SSH-Server, welcher lokal umgesetzt wird, und seinem Kohlenstoff&Kohlenstoff
  • Behauen von Dateien (z. B. Uploaden/Herunterladen, Erstellen/Löschen, Verzeichnisauflistung, Ändern von Attributen usw.)
  • Qua Stellvertreter fungieren
  • Darstellen beliebiger Shell-Befehle und Pythonschlange-Skripte

Rootkit

Wir entdeckten in jeder welcher drei Hintertüren zwei nicht ins Gewicht fallend unterschiedliche Versionen des Rootkits, die jeweils nur einzeln verwendet wurden. Es gibt erhebliche Unterschiede zwischen diesen beiden Rootkits; manche Aspekte von ihnen überschneiden sich jedoch. Obwohl die Rootkit-Versionen gen dem Open-Source-Projekt suterusu basieren, enthalten sie manche welcher exklusiven, benutzerdefinierten Techniken von FontOnLake.

Die kombinierte Funktionsvielfalt welcher beiden von uns entdeckten Versionen des Rootkits umfasst:

  • Prozess ausblenden
  • File ausblenden
  • Sich verstecken
  • Ausblenden von Netzwerkverbindungen
  • Offenlegung welcher gesammelten Anmeldeinformationen seiner Hintertür
  • Portweiterleitung machen
  • Empfang von magischen Paketen (Magische Pakete sind speziell gestaltete Pakete, die dies Rootkit anweisen können, eine andere Hintertür herunterzuladen und auszuführen)

Nachher unserer Feststellung im Zusammenhang welcher Komplettierung unseres Whitepapers zu diesem Themenkreis nach sich ziehen Lieferant wie Tencent Security Response Center, Avast und Lacework Labs veröffentlichten ihre Forschungsergebnisse zu offenkundig welcher gleichen Schadsoftware.

See Also
Vulnerability

Nicht mehr da bekannten Komponenten von FontOnLake werden von ESET-Produkten qua Linux/FontOnLake erkannt. Unternehmen oder Einzelpersonen, die ihre Linux-Endpunkte oder -Server vor dieser Gefahr schützen möchten, sollten ein mehrschichtiges Sicherheitsprodukt und eine aktualisierte Version ihrer Linux-Distribution verwenden. Wenige welcher von uns analysierten Beispiele wurden speziell zum Besten von CentOS und Debian erstellt.

In welcher Vergangenheit nach sich ziehen wir eine Operation beschrieben, die bestimmte Verhaltensmuster mit FontOnLake teilte; sein Umfang und seine Wirkung waren jedoch viel größer. Wir nach sich ziehen es Operation Windigo getauft und Sie können weitere Informationen dazu in diesem Whitepaper und diesem Folge-Blogpost finden.

Weitere technische Einzelheiten zu FontOnLake finden Sie in unserem umfangreichen Whitepaper.

IoCs

Proben

SHA-1 Erläuterung Erkennungsname
1F52DB8E3FC3040C017928F5FFD99D9FA4757BF8 Trojanisiert Katze Linux/FontOnLake
771340752985DD8E84CF3843C9843EF7A76A39E7 Trojanisiert töten
27E868C0505144F0708170DF701D7C1AE8E1FAEA Trojanisiert sftp
45E94ABEDAD8C0044A43FF6D72A5C44C6ABD9378 Trojanisiert sshd
1829B0E34807765F2B254EA5514D7BB587AECA3F Flexibel sshd
8D6ACA824D1A717AE908669E356E2D4BB6F857B0 Flexibel sshd
38B09D690FAFE81E964CBD45EC7CF20DCB296B4D Hintertür 1 Variante 1
56556A53741111C04853A5E84744807EEADFF63A Hintertür 1 Variante 2
FE26CB98AA1416A8B1F6CED4AC1B5400517257B2 Hintertür 1 Variante 3
D4E0E38EC69CBB71475D8A22EDB428C3E955A5EA Hintertür 1 Variante 4
204046B3279B487863738DDB17CBB6718AF2A83A Backdoor 2 Variante 1
9C803D1E39F335F213F367A84D3DF6150E5FE172 Backdoor 2 Variante 2
BFCC4E6628B63C92BC46219937EA7582EA6FBB41 Backdoor 2 Variante 3
515CFB5CB760D3A1DA31E9F906EA7F84F17C5136 Backdoor 3 Variante 4
A9ED0837E3AF698906B229CA28B988010BCD5DC1 Backdoor 3 Variante 5
56CB85675FE7A7896F0AA5365FF391AC376D9953 Rootkit 1 Version 1
72C9C5CE50A38D0A2B9CEF6ADEAB1008BFF12496 Rootkit 1 Version 2
B439A503D68AD7164E0F32B03243A593312040F8 Rootkit 1 Version 3
E7BF0A35C2CD79A658615E312D35BBCFF9782672 Rootkit 1 Version 4
56580E7BA6BF26D878C538985A6DC62CA094CD04 Rootkit 1 Version 5
49D4E5FCD3A3018A88F329AE47EF4C87C6A2D27A Rootkit 1-Version 5
74D44C2949DA7D5164ADEC78801733680DA8C110 Rootkit 2 Version 1
74D755E8566340A752B1DB603EF468253ADAB6BD Rootkit 2 Version 2
E20F87497023E3454B5B1A22FE6C5A5501EAE2CB Rootkit 2 Version 3
6F43C598CD9E63F550FF4E6EF51500E47D0211F3 inject.so

Kohlenstoff&Cs

Genug damit Proben:

47.107.60[.]212
47.112.197[.]119
156.238.111[.]174
172.96.231[.]69
hm2.yrnykx[.]com
ywbgrcrupasdiqxknwgceatlnbvmezti[.]com
yhgrffndvzbtoilmundkmvbaxrjtqsew[.]com
wcmbqxzeuopnvyfmhkstaretfciywdrl[.]Name
ruciplbrxwjscyhtapvlfskoqqgnxevw[.]Name
pdjwebrfgdyzljmwtxcoyomapxtzchvn[.]com
nfcomizsdseqiomzqrxwvtprxbljkpgd[.]Name
hkxpqdtgsucylodaejmzmtnkpfvojabe[.]com
etzndtcvqvyxajpcgwkzsoweaubilflh[.]com
esnoptdkkiirzewlpgmccbwuynvxjumf[.]Name
ekubhtlgnjndrmjbsqitdvvewcgzpacy[.]Name

Vom internetweiten Scan:

27.102.130[.]63

Dateinamen

/lib/modules/%VARIABLE%/kernel/drivers/input/misc/ati_remote3.ko
/etc/sysconfig/modules/ati_remote3.modules
/tmp/.tmp_%RANDOM%

Virtuelle Dateinamen

/proc/.dot3
/proc/.inl

MITRE ATT&CK-Techniken

Welche Tabelle wurde mit Version 9 des ATT&CK-Frameworks erstellt.

Taktik ICH WÜRDE Name Erläuterung
Erster Zugriff T1078 Gültige Konten FontOnLake kann mindestens SSH-Anmeldeinformationen vereinen.
Vollstreckung T1059.004 Befehls- und Skriptinterpreter: Unix Shell FontOnLake ermöglicht die Vollstreckung von Unix-Shell-Befehligen.
T1059.006 Befehls- und Skriptinterpreter: Pythonschlange FontOnLake ermöglicht die Vollstreckung beliebiger Pythonschlange-Skripte.
T1106 Native API FontOnLake verwendet Gabel() um zusätzliche Prozesse zu erstellen, wie z sshd.
T1204 Benutzerausführung FontOnLake trojanisiert Standardtools wie Katze selbst auszuführen.
Sturheit T1547.006 Schiff- oder Logon-Autostart-Vollstreckung: Kernel-Module und -Erweiterungen Eines welcher Rootkits von FontOnLake kann mit einem Startskript umgesetzt werden.
T1037 Schiff- oder Logon-Initialisierungsskripte FontOnLake erstellt ein Systemstartskript ati_remote3.modules.
T1554 Kompromittieren Sie die Binärdatei welcher Client-Software FontOnLake modifiziert mehrere Standard-Binärdateien, um Persistenz zu gelingen.
Verteidigungsflucht T1140 Enthüllen/Dekodieren von Dateien oder Informationen Wenige Backdoors von FontOnLake können AES-verschlüsselte und serialisierte Kommunikation entschlüsseln und verschlüsselte Kohlenstoff&Kohlenstoff-Adressen base64 entschlüsseln.
T1222.002 Tapetenwechsel von File- und Verzeichnisberechtigungen: Tapetenwechsel von File- und Verzeichnisberechtigungen zum Besten von Linux und Mac Die Hintertür von FontOnLake kann die Berechtigungen welcher File ändern, die umgesetzt werden soll.
T1564 Artefakte ausblenden FontOnLake versteckt seine Verbindungen und Prozesse mit Rootkits.
T1564.001 Artefakte ausblenden: Versteckte Dateien und Verzeichnisse FontOnLake versteckt seine Dateien mit Rootkits.
T1027 Verschleierte Dateien oder Informationen FontOnLake packt seine ausführbaren Dateien mit UPX.
T1014 Rootkit FontOnLake verwendet Rootkits, um dies Vorhandensein seiner Prozesse, Dateien, Netzwerkverbindungen und Viehtreiber zu verbergen.
Zugang zu Anmeldeinformationen T1556 Authentifizierungsprozess ändern FontOnLake ändert sshd Zeugnisse zu vereinen.
Feststellung T1083 File- und Verzeichniserkennung Eine welcher Hintertüren von FontOnLake kann Dateien und Verzeichnisse listen.
T1082 Systeminformationserkennung FontOnLake kann Systeminformationen vom Computer des Opfers vereinen.
Seitliche Fortbewegung T1021.004 Remote-Dienste: SSH FontOnLake sammelt ssh-Zugangsdaten und beabsichtigt sehr wahrscheinlich, sie zum Besten von seitliche Bewegungen zu verwenden.
Steuerung und Test T1090 Stellvertreter FontOnLake kann qua Proxy fungieren.
T1071.001 Application Layer Protocol: Webprotokolle FontOnLake bezieht zusätzliche Kohlenstoff&Kohlenstoff-Server via Hypertext Transfer Protocol.
T1071.002 Application Layer Protocol: Dateiübertragungsprotokolle FontOnLake kann zusätzliche Pythonschlange-Dateien herunterladen, die via FTP umgesetzt werden.
T1132.001 Datenkodierung: Standardkodierung FontOnLake verwendet base64, um HTTPS-Eingehen zu programmieren.
T1568 Dynamische Granularität FontOnLake kann Hypertext Transfer Protocol verwenden, um Ressourcen herunterzuladen, die ein Paar aus IP-Anschrift und Portnummer enthalten, um eine Verpflichtung zu diesem herzustellen und seinen Kohlenstoff&Kohlenstoff abzurufen. Es kann dynamische DNS-Granularität verwenden, um eine zufällig manche Fachrichtung zu erstellen und in welche aufzulösen.
T1573.001 Verschlüsselter Wasserstraße: Symmetrische Kryptographie FontOnLake verwendet AES, um die Kommunikation mit seinem Kohlenstoff&Kohlenstoff zu verschlüsseln.
T1008 Fallback-Kanäle FontOnLake kann dynamische DNS-Granularität verwenden, um eine zufällig manche Fachrichtung zu erstellen und aufzulösen. Eines seiner Rootkits lauscht wenn schon gen speziell gestaltete Pakete, die es anweisen, zusätzliche Dateien herunterzuladen und auszuführen. Es verbindet sich wenn schon mit einem Kohlenstoff&Kohlenstoff und akzeptiert Verbindungen gen allen Schnittstellen.
T1095 Nicht-Anwendungsschichtprotokoll FontOnLake verwendet TCP zum Besten von die Kommunikation mit seinem Kohlenstoff&Kohlenstoff.
T1571 Nicht-Standard-Port Sozusagen jedes Paradigma von FontOnLake verwendet zusammenführen einzigartigen, nicht standardmäßigen Port.
Exfiltration T1041 Exfiltration via C2-Wasserstraße FontOnLake verwendet seine Kohlenstoff&Kohlenstoff, um gesammelte Information zu exfiltrieren.



What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top