FontOnLake: Neue Malware‑Familie hat Linux im Visier

ESET-Forscher haben eine neue Malware-Familie entdeckt, deren Tools auf den Einsatz bei gezielten Cyberangriffen hindeuten.

ESET-Forscher haben eine neue Malware-Familie entdeckt, deren Tools auf den Einsatz bei gezielten Cyberangriffen hindeuten.

ESET-Forscher haben eine bisher unbekannte Malware-Familie entdeckt, die individuell angepasste und gut gestaltete Module verwendet und auf Linux-Betriebssysteme mit abzielt. Die Module, der von uns FontOnLake genannten Malware-Familie, werden kontinuierlich weiterentwickelt und erlauben den Angreifern Fernzugriff, das Sammeln von Anmeldeinformationen und sie dienen als Proxy-Server. In diesem Blogpost fassen wir die in unserem Whitepaper veröffentlichten Analyseergebnisse zusammen.

Um Daten (z.B. SSH-Anmeldeinformationen) zu sammeln oder andere bösartige Aktivitäten durchzuführen, nutzt diese Malware-Familie modifizierte legitime Binärdateien, die so angepasst sind, dass sie weitere Komponenten laden. Um seine Existenz zu verbergen, wird FontOnLake immer von einem Rootkit begleitet. Diese Binärdateien wie cat, kill oder sshd werden häufig auf Linux-Systemen verwendet und können zusätzlich als Persistenzmechanismus fungieren.

Die heimlichtuerische Natur der FontOnLake-Tools in Kombination mit dem fortschrittlichem Design und der geringen Verbreitung legen nahe, dass sie bei gezielten Angriffen verwendet werden.

Die erste bekannte Datei dieser Malware-Familie tauchte im vergangenen Mai auf VirusTotal auf und weitere Beispiele wurden dann im weiteren Verlauf des Jahres hochgeladen. Der Standort des C&C-Servers und die Länder, aus denen die Proben auf VirusTotal hochgeladen wurden, weisen möglicherweise darauf hin, dass Südostasien zu den Zielen gehört.

Wir glauben, dass die Betreiber von FontOnLake besonders vorsichtig sind, da fast alle beobachteten Samples einzigartige C&C-Server mit unterschiedlichen Nicht-Standard-Ports verwenden. Die Autoren verwenden hauptsächlich C/C++ und verschiedene Bibliotheken von Drittanbietern wie Boost, Poco, oder Protobuf. Keiner der C&C-Server, die in den auf VirusTotal hochgeladenen Beispielen verwendet wurden, war zum Zeitpunkt als dieser Artikel geschrieben wurde aktiv – was darauf hindeutet, dass sie aufgrund des Hochladens deaktiviert worden sein könnten.

Bekannte Komponenten von FontOnLake

Die derzeit bekannten Komponenten von FontOnLake lassen sich in die folgenden drei Gruppen einteilen, die miteinander interagieren:

  • Trojanisierte Anwendungen – modifizierte legitime Binärdateien, die angepasst wurden, um weitere Komponenten zu laden, Daten zu sammeln oder andere bösartige Aktivitäten durchzuführen.
  • Backdoors – User-Mode-Komponenten, die als Hauptkommunikationspunkt für die Hintermänner dienen.
  • Rootkits – Kernel-Modus-Komponenten, die ihre Anwesenheit meist verbergen und verschleiern, bei Updates helfen oder Fallback-Backdoors bereitstellen.

Trojanisierte Anwendungen

Wir haben mehrere trojanisierte Anwendungen entdeckt, die hauptsächlich dazu verwendet werden, um angepasste Backdoor- oder Rootkit-Module zu laden. Darüber hinaus können sie auch sensible Daten sammeln. Patches der Anwendungen werden höchstwahrscheinlich auf Quellcodeebene angewendet, was darauf hindeutet, dass die Anwendungen kompiliert wurden und die ursprünglichen Anwendungen ersetzt wurden.

Alle trojanisierten Dateien sind Standard-Linux-Dienstprogramme und dienen jeweils als Persistenzmethode, da sie normalerweise beim Systemstart ausgeführt werden. Der ursprüngliche Weg, auf dem diese trojanisierten Anwendungen zu ihren Opfern gelangen, ist nicht bekannt.

Die Kommunikation einer trojanisierten Anwendung mit ihrem Rootkit läuft über eine virtuelle Datei, die vom Rootkit erstellt und verwaltet wird. Wie in Abbildung 1 dargestellt, können Daten aus der/in die virtuelle Datei gelesen/geschrieben und auf Anfrage der Betreiber mit ihrer Backdoor-Komponente exportiert werden.

Abbildung 1. Interaktion der Komponenten von FontOnLake

Hintertüren

Die drei verschiedenen Backdoors, die wir entdeckt haben, sind in C++ geschrieben und alle verwenden, wenn auch auf leicht unterschiedliche Weise, dieselbe Asio-Bibliothek von Boost für asynchrone Netzwerke und Low-Level-I/O. Poco , Protobuf und Funktionen von STL wie smarte Pointer werden ebenfalls verwendet. Was bei Malware selten ist, ist die Tatsache, dass diese Hintertüren auch eine Reihe von Software-Designmustern aufweisen.

Die Funktionalität, die sie alle gemeinsam haben, besteht darin, dass jede Backdoor die gesammelten Anmeldeinformationen und seinen Bash-Befehlsverlauf in seinen C&C exfiltriert.

In Anbetracht einiger überlappender Funktionen werden diese verschiedenen Hintertüren höchstwahrscheinlich nicht zusammen auf einem kompromittierten System verwendet.

Alle Hintertüren verwenden zusätzlich benutzerdefinierte Heartbeat-Befehle, die regelmäßig gesendet und empfangen werden, um die Verbindung aufrechtzuerhalten.

Die Gesamtfunktionalität dieser Hintertüren besteht aus den folgenden Methoden:

  • Exfiltrieren der gesammelten Daten
  • Erstellung einer Brücke zwischen einem benutzerdefinierten ssh-Server, der lokal ausgeführt wird, und seinem C&C-Server
  • Manipulieren von Dateien (z. B. Hochladen/Herunterladen, Erstellen/Löschen, Verzeichnisauflistung, Ändern von Attributen usw.)
  • Als Proxy-Server fungieren
  • Ausführen beliebiger Shell-Befehle und Python-Skripte

Rootkit

Wir entdeckten in jeder der drei Backdoors zwei geringfügig unterschiedliche Versionen des Rootkits, die jeweils nur einzeln verwendet wurden. Es gibt erhebliche Unterschiede zwischen diesen beiden Rootkits, allerdings überschneiden sich bestimmte Aspekte von ihnen. Obwohl die Rootkit-Versionen auf dem Open-Source-Projekt suterusu basieren, enthalten sie einige ihrer exklusiven, individuellen  Techniken.

Die Funktionen der beiden von uns entdeckten Versionen des Rootkits umfassen zusammengenommen:

  • Verstecken von Prozessen
  • Verstecken von Dateien
  • Sich selbst verstecken
  • Netzwerkverbindungen verbergen
  • Weitergabe der gesammelten Anmeldeinformationen an seine Backdoor
  • Portweiterleitung durchführen
  • Empfang von magischen Paketen (Magische Pakete sind speziell gestaltete Pakete, die das Rootkit anweisen können, eine weitere Backdoor herunterzuladen und auszuführen)

Nach unserer Entdeckung und noch während der Fertigstellung unseres Whitepapers zum Thema veröffentlichten Anbieter wie Tencent Security Response Center, Avast und Lacework Labs ihre Forschungsergebnisse zu anscheinend der gleichen Malware.

Alle bekannten Komponenten von FontOnLake werden von ESET-Produkten als Linux/FontOnLake erkannt. Unternehmen oder Einzelpersonen, die ihre Linux-Endpunkte oder -Server vor dieser Bedrohung schützen möchten, sollten ein mehrschichtiges Sicherheitsprodukt und eine aktualisierte Version ihrer Linux-Distribution verwenden. Einige der von uns analysierten Malware-Samples wurden speziell für CentOS und Debian erstellt.

In der Vergangenheit haben wir eine Operation beschrieben, die bestimmte Verhaltensmuster mit FontOnLake teilte; ihre Ausmaße und seine Wirkung waren jedoch viel größer. Wir haben sie Operation Windigo getauft und Sie finden weitere Informationen dazu in diesem Whitepaper und diesem Blogpost.

Weitere technische Details zu FontOnLake finden Sie in unserem umfangreichen Whitepaper.

IoCs

Samples

SHA-1DescriptionDetection name
1F52DB8E3FC3040C017928F5FFD99D9FA4757BF8Trojanized catLinux/FontOnLake
771340752985DD8E84CF3843C9843EF7A76A39E7Trojanized kill
27E868C0505144F0708170DF701D7C1AE8E1FAEATrojanized sftp
45E94ABEDAD8C0044A43FF6D72A5C44C6ABD9378Trojanized sshd
1829B0E34807765F2B254EA5514D7BB587AECA3FCustom sshd
8D6ACA824D1A717AE908669E356E2D4BB6F857B0Custom sshd
38B09D690FAFE81E964CBD45EC7CF20DCB296B4DBackdoor 1 variant 1
56556A53741111C04853A5E84744807EEADFF63ABackdoor 1 variant 2
FE26CB98AA1416A8B1F6CED4AC1B5400517257B2Backdoor 1 variant 3
D4E0E38EC69CBB71475D8A22EDB428C3E955A5EABackdoor 1 variant 4
204046B3279B487863738DDB17CBB6718AF2A83ABackdoor 2 variant 1
9C803D1E39F335F213F367A84D3DF6150E5FE172Backdoor 2 variant 2
BFCC4E6628B63C92BC46219937EA7582EA6FBB41Backdoor 2 variant 3
515CFB5CB760D3A1DA31E9F906EA7F84F17C5136Backdoor 3 variant 4
A9ED0837E3AF698906B229CA28B988010BCD5DC1Backdoor 3 variant 5
56CB85675FE7A7896F0AA5365FF391AC376D9953Rootkit 1 version 1
72C9C5CE50A38D0A2B9CEF6ADEAB1008BFF12496Rootkit 1 version 2
B439A503D68AD7164E0F32B03243A593312040F8Rootkit 1 version 3
E7BF0A35C2CD79A658615E312D35BBCFF9782672Rootkit 1 version 4
56580E7BA6BF26D878C538985A6DC62CA094CD04Rootkit 1version 5
49D4E5FCD3A3018A88F329AE47EF4C87C6A2D27ARootkit 1 version 5
74D44C2949DA7D5164ADEC78801733680DA8C110Rootkit 2 version 1
74D755E8566340A752B1DB603EF468253ADAB6BDRootkit 2 version 2
E20F87497023E3454B5B1A22FE6C5A5501EAE2CBRootkit 2 version 3
6F43C598CD9E63F550FF4E6EF51500E47D0211F3inject.so

C&Cs

From samples:

47.107.60[.]212
47.112.197[.]119
156.238.111[.]174
172.96.231[.]69
hm2.yrnykx[.]com
ywbgrcrupasdiqxknwgceatlnbvmezti[.]com
yhgrffndvzbtoilmundkmvbaxrjtqsew[.]com
wcmbqxzeuopnvyfmhkstaretfciywdrl[.]name
ruciplbrxwjscyhtapvlfskoqqgnxevw[.]name
pdjwebrfgdyzljmwtxcoyomapxtzchvn[.]com
nfcomizsdseqiomzqrxwvtprxbljkpgd[.]name
hkxpqdtgsucylodaejmzmtnkpfvojabe[.]com
etzndtcvqvyxajpcgwkzsoweaubilflh[.]com
esnoptdkkiirzewlpgmccbwuynvxjumf[.]name
ekubhtlgnjndrmjbsqitdvvewcgzpacy[.]name

From internet-wide scan:

27.102.130[.]63

Filenames

/lib/modules/%VARIABLE%/kernel/drivers/input/misc/ati_remote3.ko
/etc/sysconfig/modules/ati_remote3.modules
/tmp/.tmp_%RANDOM%

Virtual filenames

/proc/.dot3
/proc/.inl

MITRE ATT&CK techniques

This table was built using version 9 of the ATT&CK framework.

TacticIDNameDescription
Initial AccessT1078Valid AccountsFontOnLake can collect at least ssh credentials.
ExecutionT1059.004Command and Scripting Interpreter: Unix ShellFontOnLake enables execution of Unix Shell commands.
T1059.006Command and Scripting Interpreter: PythonFontOnLake enables execution of arbitrary Python scripts.
T1106Native APIFontOnLake uses fork() to create additional processes such as sshd.
T1204User ExecutionFontOnLake trojanizes standard tools such as cat to execute itself.
PersistenceT1547.006Boot or Logon Autostart Execution: Kernel Modules and ExtensionsOne of FontOnLake’s rootkits can be executed with a start-up script.
T1037Boot or Logon Initialization ScriptsFontOnLake creates a system start-up script ati_remote3.modules.
T1554Compromise Client Software BinaryFontOnLake modifies several standard binaries to achieve persistence.
Defense EvasionT1140Deobfuscate/Decode Files or InformationSome backdoors of FontOnLake can decrypt AES-encrypted and serialized communication and base64 decode encrypted C&C address.
T1222.002File and Directory Permissions Modification: Linux and Mac File and Directory Permissions ModificationFontOnLake’s backdoor can change the permissions of the file it wants to execute.
T1564Hide ArtifactsFontOnLake hides its connections and processes with rootkits.
T1564.001Hide Artifacts: Hidden Files and DirectoriesFontOnLake hides its files with rootkits.
T1027Obfuscated Files or InformationFontOnLake packs its executables with UPX.
T1014RootkitFontOnLake uses rootkits to hide the presence of its processes, files, network connections and drivers.
Credential AccessT1556Modify Authentication ProcessFontOnLake modifies sshd to collect credentials.
DiscoveryT1083File and Directory DiscoveryOne of FontOnLake’s backdoors can list files and directories.
T1082System Information DiscoveryFontOnLake can collect system information from the victim’s machine.
Lateral MovementT1021.004Remote Services: SSHFontOnLake collects ssh credentials and most probably intends to use them for lateral movement.
Command and ControlT1090ProxyFontOnLake can serve as a proxy.
T1071.001Application Layer Protocol: Web ProtocolsFontOnLake acquires additional C&C servers over HTTP.
T1071.002Application Layer Protocol: File Transfer ProtocolsFontOnLake can download additional Python files to be executed over FTP.
T1132.001Data Encoding: Standard EncodingFontOnLake uses base64 to encode HTTPS responses.
T1568Dynamic ResolutionFontOnLake can use HTTP to download resources that contain an IP address and port number pair to connect to and acquire its C&C. It can use dynamic DNS resolution to construct and resolve to a randomly chosen domain.
T1573.001Encrypted Channel: Symmetric CryptographyFontOnLake uses AES to encrypt communication with its C&C.
T1008Fallback ChannelsFontOnLake can use dynamic DNS resolution to construct and resolve to a randomly chosen domain. One of its rootkits also listens for specially crafted packets, which instruct it to download and execute additional files. It also both connects to a C&C and accepts connections on all interfaces.
T1095Non-Application Layer ProtocolFontOnLake uses TCP for communication with its C&C.
T1571Non-Standard PortAlmost every sample of FontOnLake uses a unique non-standard port.
ExfiltrationT1041Exfiltration Over C2 ChannelFontOnLake uses its C&C to exfiltrate collected data.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren