Supprimer la porte dérobée FaceFish
Le Facefish Backdoor est un implant polyvalent, qui cible exclusivement les systèmes Linux. Son nom est inspiré du fait que toutes les communications entre l'implant et le serveur de contrôle sont cryptées via le chiffrement Blowfish, masquant ainsi l'activité malveillante. La menace gagne en persistance sur les machines infectées et essaie de récupérer les identifiants de connexion sensibles. En plus de cela, il tente de supprimer les rootkits et autres logiciels malveillants, ainsi que d'exécuter des commandes à distance.
De toute évidence, les créateurs de Facefish Backdoor ont mis l'accent sur la persistance, et les victimes de cet implant peuvent avoir du mal à essayer d'éradiquer l'application malveillante manuellement. Le plan d'action recommandé pour faire face aux menaces avancées de ce type consiste à utiliser un outil antivirus à jour, qui éliminera tous les fichiers malveillants en une seule opération rapide. Ce faisant, cela empêchera l'un des composants de Facefish Backdoor de persister et de reprendre le système.
Mis à part la suppression d'un rootkit, la fonctionnalité de Facefish Backdoor est plutôt limitée - elle prend en charge un petit ensemble de commandes. Cependant, s'il parvient à obtenir des autorisations renforcées sur l'hôte infecté, il peut voler suffisamment de données pour permettre à l'attaquant de provoquer bien plus de dégâts. Certaines des capacités de Facefish Backdoor sont :
- Volez automatiquement les identifiants de connexion et transférez-les sur le serveur.
- Utilisez la commande UNIX 'uname' pour collecter des données.
- Ouvrez une coque inversée.
- Exécutez les commandes système et envoyez la sortie au serveur de l'attaquant.
Le vecteur d'infection utilisé pour fournir la porte dérobée Facefish n'est pas encore clair. Il est possible que les criminels s'appuient sur l'exploitation de logiciels et de services vulnérables - les utilisateurs de Linux doivent prendre les mesures nécessaires pour appliquer toutes les mises à jour et correctifs de sécurité, ce qui pourrait aider à prévenir les attaques malveillantes.