Facefish
また新しいのが確認されています。
Facefishという名前です。
Control Web PanelというFreeでも使えるLinux向けのサーバ管理ソフトウェアがあります。
WebUIを搭載していて使いやすいもののようです。
詳細はまだ確認されていないようですが、このツールのなんらかの実装上の問題を悪用して、Facefishが成り立ちます。
FacefishはそのなかにDropper機能部分とRootkit機能部分の両方を持つ構造です。
最近は単一の要素だけを実装したものが多いように思いますが、このマルウェアは複数の機能要素を内包しているようです。
FacefishはLinux x64向けに実装されたマルウェアです。
こんな機能が実現されてしまいます。
- デバイス情報のアップロード
- ユーザの資格情報の取得
- バウンスシェル
nc(netcat)で実現できる簡易shellのようなものです。外部の機器と通信ができます。 - 任意のコマンドの実行
数からするとWindows環境向けのマルウェアが圧倒的に多いですが、Linux環境も慎重に運用する必要があります。
そうはいっても、Webでサーバの管理ができる機能を動くようにしておいてそれがどこからでもアクセスできる状態にしてある、という時点で終わっている感じもします。
日々の運用をコツコツと継続していくことは重要です。
しかしそれだけでなく、方式設計というのでしょうか、そもそものネットワークやサーバのデザインが妥当である状態を保つことも重要ですよね。
いつの間にか驚くような設定で運用してしまっていたけれどもずっと気が付いていなかった、ということにならないように、定期的な棚卸ができるといいのでしょうね。
参考記事(外部リンク):Facefish Backdoor delivers rootkits to Linux x64 systems
securityaffairs.co/wordpress/118388/malware/facefish-backdoor.html
