FontOnLake : Une famille de logiciels malveillants inconnue à ce jour cible Linux

Les chercheurs d'ESET analysent FontOnLake, une famille de logiciels malveillants dont les outils suggèrent une utilisation dans des attaques ciblées.

Les chercheurs d’ESET analysent FontOnLake, une famille de logiciels malveillants dont les outils suggèrent une utilisation dans des attaques ciblées.

Les chercheurs d’ESET ont découvert une famille de logiciels malveillants jusqu’alors inconnue qui utilise des modules personnalisés et bien conçus, ciblant les systèmes d’exploitation fonctionnant sous Linux. Les modules utilisés par cette famille de logiciels malveillants, que nous avons décidé de nommer FontOnLake, sont en constant développement et permettent d’accéder à distance aux opérateurs, de collecter des informations d’identification et de servir de serveur proxy. Dans ce billet de blog, nous résumons les résultats publiés dans leur intégralité dans notre white paper.

Pour collecter des données (par exemple des informations d’identification ssh) ou mener d’autres activités malveillantes, cette famille de logiciels malveillants utilise des binaires légitimes modifiés qui sont ajustés pour charger d’autres composants. En fait, pour dissimuler son existence, la présence de FontOnLake est toujours accompagnée d’un rootkit. Ces binaires tels que cat, kill ou sshd sont couramment utilisés sur les systèmes Linux et peuvent en outre servir de mécanisme de persistance.

La nature sournoise des outils de FontOnLake, combinée à une conception avancée et à une faible prévalence, suggère qu’ils sont utilisés dans des attaques ciblées.

Le premier fichier connu appartenant à cette famille de logiciels malveillants est apparu sur VirusTotal en mai dernier et d’autres échantillons ont été téléchargés tout au long de l’année. La localisation du serveur C&C et les pays à partir desquels les échantillons ont été téléchargés sur VirusTotal pourraient indiquer que l’Asie du Sud-Est fait partie de ses cibles.

Nous croyons que les opérateurs de FontOnLake sont particulièrement prudents, car presque tous les échantillons vus utilisent des serveurs C&C uniques avec des ports non standard variables. Les auteurs utilisent principalement C/C++ et diverses bibliothèques tierces telles que BoostPoco, ou Protobuf.. Aucun des serveurs C&C utilisés dans les échantillons téléchargés sur VirusTotal n’était actif au moment de la rédaction du présent document, ce qui indique qu’ils ont pu être désactivés en raison du téléchargement.

Composants connus de FontOnLake

Les composants actuellement connus de FontOnLake peuvent être divisés en trois groupes suivants qui interagissent les uns avec les autres :

  • Applications trojanisées – binaires légitimes modifiés qui sont ajustés pour charger d’autres composants, collecter des données ou mener d’autres activités malveillantes.
  • Backdoors – composants en mode utilisateur servant de point de communication principal pour leurs opérateurs.
  • Rootkits – composants en mode noyau qui dissimulent et déguisent leur présence, aident aux mises à jour ou fournissent des portes dérobées.

Applications trojanisées

Nous avons découvert plusieurs applications trojanisées ; elles sont principalement utilisées pour charger des modules de backdoor ou de rootkit personnalisés. En outre, elles peuvent également collecter des données sensibles. Les correctifs des applications sont très probablement appliqués au niveau du code source, ce qui indique que les applications ont dû être compilées et remplacer les applications originales.

Tous les fichiers trojanisés sont des utilitaires Linux standard et chacun d’entre eux sert de méthode de persistance car ils sont généralement exécutés au démarrage du système. On ne connaît pas la manière initiale dont ces applications trojanisées parviennent à leurs victimes.

La communication d’une application trojanisée avec son rootkit passe par un fichier virtuel, qui est créé et géré par le rootkit. Comme l’illustre la figure 1, les données peuvent être lues/écrites depuis/vers le fichier virtuel et exportées avec son composant backdoor à la demande de l’opérateur.

Figure 1. Interaction des composants de FontOnLake

Portes dérobées

Les trois différentes backdoors que nous avons découvertes sont écrites en C++ et utilisent toutes, bien que de manière légèrement différente, la même bibliothèque Asio de Boost pour le réseau asynchrone et les E/S de bas niveau. Elles utilisent également Poco et Protobuf, ainsi que des fonctionnalités de la STL telles que les pointeurs intelligents. Fait rare pour les logiciels malveillants : ces portes dérobées comportent également un certain nombre de modèles de conception de logiciels.

La fonctionnalité qu’elles ont toutes en commun est que chacune exfiltre les informations d’identification collectées et l’historique de ses commandes bash vers son C&C.

Compte tenu du chevauchement de certaines fonctionnalités, il est fort probable que ces différentes portes dérobées ne soient pas utilisées ensemble sur un même système compromis.

Toutes les backdoors utilisent en outre des commandes de battement de cœur personnalisées envoyées et reçues périodiquement pour maintenir la connexion en vie.

La fonctionnalité globale de ces backdoors consiste en les méthodes suivantes :

  • Exfiltration des données collectées.
  • Création d’un pont entre un serveur ssh personnalisé fonctionnant localement et son C&C
  • Manipulation de fichiers (par exemple, chargement/téléchargement, création/suppression, liste de répertoires, modification des attributs, etc.)
  • Servir de proxy
  • Exécution de commandes shell et de scripts python arbitraires.

Rootkit

Nous avons découvert deux versions marginalement différentes du rootkit, utilisées une seule à la fois, dans chacune des trois portes dérobées. Il existe des différences significatives entre ces deux rootkits, bien qu’ils se ressemblent sous certains aspects. Même si les versions du rootkit sont basées sur le projet open-source suterusu, elles contiennent plusieurs de leurs techniques exclusives et personnalisées.

Les fonctions communes auxs deux versions que nous avons découverte de ce rootkit permettent de :

  • Masquer des processus
  • Cacher des fichiers
  • Se cacher soi-même
  • Masquer des connexions réseau
  • Exposer des informations d’identification collectées à sa porte dérobée
  • Réaliser une redirection de port
  • Recevoir de « paquets magiques » (les paquets magiques sont des paquets spécialement conçus qui peuvent demander au rootkit de télécharger et d’exécuter une autre porte dérobée).

Entre notre découverte et la finalisation de notre white paper sur le sujet, des fournisseurs dont as Tencent Security Response CenterAvast and Lacework Labs ont publié leurs recherches sur ce qui semble être le même logiciel malveillant.

Tous les composants connus de FontOnLake sont détectés par les produits ESET comme Linux/FontOnLake. Les entreprises ou les particuliers qui souhaitent protéger leurs terminaux ou serveurs Linux contre cette menace doivent utiliser un produit de sécurité multicouche et une version mise à jour de leur distribution Linux. Ccertains des échantillons que nous avons analysés ont été créés spécifiquement pour CentOS et Debian.

Dans le passé, nous avons décrit une opération qui partageait certains schémas comportementaux avec FontOnLake ; cependant, son échelle et son impact étaient bien plus importants. Nous l’avons baptisée Operation Windigo et vous pouvez trouver plus d’informations à son sujet dans notre white paper et cet article faisant un suivi.

Vous pouvez trouver des détails techniques supplémentaires sur FontOnLake en consultant notre white paper.

Indicateurs de compromission (IoCs)

Échantillons

SHA-1DescriptionDetection name
1F52DB8E3FC3040C017928F5FFD99D9FA4757BF8Trojanized catLinux/FontOnLake
771340752985DD8E84CF3843C9843EF7A76A39E7Trojanized kill
27E868C0505144F0708170DF701D7C1AE8E1FAEATrojanized sftp
45E94ABEDAD8C0044A43FF6D72A5C44C6ABD9378Trojanized sshd
1829B0E34807765F2B254EA5514D7BB587AECA3FCustom sshd
8D6ACA824D1A717AE908669E356E2D4BB6F857B0Custom sshd
38B09D690FAFE81E964CBD45EC7CF20DCB296B4DBackdoor 1 variant 1
56556A53741111C04853A5E84744807EEADFF63ABackdoor 1 variant 2
FE26CB98AA1416A8B1F6CED4AC1B5400517257B2Backdoor 1 variant 3
D4E0E38EC69CBB71475D8A22EDB428C3E955A5EABackdoor 1 variant 4
204046B3279B487863738DDB17CBB6718AF2A83ABackdoor 2 variant 1
9C803D1E39F335F213F367A84D3DF6150E5FE172Backdoor 2 variant 2
BFCC4E6628B63C92BC46219937EA7582EA6FBB41Backdoor 2 variant 3
515CFB5CB760D3A1DA31E9F906EA7F84F17C5136Backdoor 3 variant 4
A9ED0837E3AF698906B229CA28B988010BCD5DC1Backdoor 3 variant 5
56CB85675FE7A7896F0AA5365FF391AC376D9953Rootkit 1 version 1
72C9C5CE50A38D0A2B9CEF6ADEAB1008BFF12496Rootkit 1 version 2
B439A503D68AD7164E0F32B03243A593312040F8Rootkit 1 version 3
E7BF0A35C2CD79A658615E312D35BBCFF9782672Rootkit 1 version 4
56580E7BA6BF26D878C538985A6DC62CA094CD04Rootkit 1version 5
49D4E5FCD3A3018A88F329AE47EF4C87C6A2D27ARootkit 1 version 5
74D44C2949DA7D5164ADEC78801733680DA8C110Rootkit 2 version 1
74D755E8566340A752B1DB603EF468253ADAB6BDRootkit 2 version 2
E20F87497023E3454B5B1A22FE6C5A5501EAE2CBRootkit 2 version 3
6F43C598CD9E63F550FF4E6EF51500E47D0211F3inject.so

C&Cs

Des échantillons:

47.107.60[.]212
47.112.197[.]119
156.238.111[.]174
172.96.231[.]69
hm2.yrnykx[.]com
ywbgrcrupasdiqxknwgceatlnbvmezti[.]com
yhgrffndvzbtoilmundkmvbaxrjtqsew[.]com
wcmbqxzeuopnvyfmhkstaretfciywdrl[.]name
ruciplbrxwjscyhtapvlfskoqqgnxevw[.]name
pdjwebrfgdyzljmwtxcoyomapxtzchvn[.]com
nfcomizsdseqiomzqrxwvtprxbljkpgd[.]name
hkxpqdtgsucylodaejmzmtnkpfvojabe[.]com
etzndtcvqvyxajpcgwkzsoweaubilflh[.]com
esnoptdkkiirzewlpgmccbwuynvxjumf[.]name
ekubhtlgnjndrmjbsqitdvvewcgzpacy[.]name

Du scan de l’ensemble de l’Internet

27.102.130[.]63

Noms de fichier

/lib/modules/%VARIABLE%/kernel/drivers/input/misc/ati_remote3.ko
/etc/sysconfig/modules/ati_remote3.modules
/tmp/.tmp_%RANDOM%

Fichiers virtuels

/proc/.dot3
/proc/.inl

Techniques MITRE ATT&CK

Ce tableau a été conçu selon la version 9 de ATT&CK.

TacticIDNameDescription
Initial AccessT1078Valid AccountsFontOnLake can collect at least ssh credentials.
ExecutionT1059.004Command and Scripting Interpreter: Unix ShellFontOnLake enables execution of Unix Shell commands.
T1059.006Command and Scripting Interpreter: PythonFontOnLake enables execution of arbitrary Python scripts.
T1106Native APIFontOnLake uses fork() to create additional processes such as sshd.
T1204User ExecutionFontOnLake trojanizes standard tools such as cat to execute itself.
PersistenceT1547.006Boot or Logon Autostart Execution: Kernel Modules and ExtensionsOne of FontOnLake’s rootkits can be executed with a start-up script.
T1037Boot or Logon Initialization ScriptsFontOnLake creates a system start-up script ati_remote3.modules.
T1554Compromise Client Software BinaryFontOnLake modifies several standard binaries to achieve persistence.
Defense EvasionT1140Deobfuscate/Decode Files or InformationSome backdoors of FontOnLake can decrypt AES-encrypted and serialized communication and base64 decode encrypted C&C address.
T1222.002File and Directory Permissions Modification: Linux and Mac File and Directory Permissions ModificationFontOnLake’s backdoor can change the permissions of the file it wants to execute.
T1564Hide ArtifactsFontOnLake hides its connections and processes with rootkits.
T1564.001Hide Artifacts: Hidden Files and DirectoriesFontOnLake hides its files with rootkits.
T1027Obfuscated Files or InformationFontOnLake packs its executables with UPX.
T1014RootkitFontOnLake uses rootkits to hide the presence of its processes, files, network connections and drivers.
Credential AccessT1556Modify Authentication ProcessFontOnLake modifies sshd to collect credentials.
DiscoveryT1083File and Directory DiscoveryOne of FontOnLake’s backdoors can list files and directories.
T1082System Information DiscoveryFontOnLake can collect system information from the victim’s machine.
Lateral MovementT1021.004Remote Services: SSHFontOnLake collects ssh credentials and most probably intends to use them for lateral movement.
Command and ControlT1090ProxyFontOnLake can serve as a proxy.
T1071.001Application Layer Protocol: Web ProtocolsFontOnLake acquires additional C&C servers over HTTP.
T1071.002Application Layer Protocol: File Transfer ProtocolsFontOnLake can download additional Python files to be executed over FTP.
T1132.001Data Encoding: Standard EncodingFontOnLake uses base64 to encode HTTPS responses.
T1568Dynamic ResolutionFontOnLake can use HTTP to download resources that contain an IP address and port number pair to connect to and acquire its C&C. It can use dynamic DNS resolution to construct and resolve to a randomly chosen domain.
T1573.001Encrypted Channel: Symmetric CryptographyFontOnLake uses AES to encrypt communication with its C&C.
T1008Fallback ChannelsFontOnLake can use dynamic DNS resolution to construct and resolve to a randomly chosen domain. One of its rootkits also listens for specially crafted packets, which instruct it to download and execute additional files. It also both connects to a C&C and accepts connections on all interfaces.
T1095Non-Application Layer ProtocolFontOnLake uses TCP for communication with its C&C.
T1571Non-Standard PortAlmost every sample of FontOnLake uses a unique non-standard port.
ExfiltrationT1041Exfiltration Over C2 ChannelFontOnLake uses its C&C to exfiltrate collected data.

Infolettre

Discussion