في تقرير نشر مؤخرًا ، حلل باحثو الأمن في "ESET" أحد البرامج الضارة كان يهدف في المقام الأول إلى أجهزة الكمبيوتر عالية الأداء (HPC) وخوادم شبكة البحث والجامعات.
باستخدام الهندسة العكسية ، اكتشفوا أن بابًا خلفيًا جديدًا يستهدف أجهزة الكمبيوتر العملاقة حول العالم، غالبًا ما يسرق بيانات اعتماد اتصالات الشبكة الآمنة باستخدام إصدار مصاب من برنامج OpenSSH.
"قمنا بعكس هندسة هذه البرامج الضارة الصغيرة ولكن المعقدة ، وهي محمولة على العديد من أنظمة التشغيل ، بما في ذلك Linux و BSD و Solaris.
تشير بعض القطع الأثرية التي تم اكتشافها أثناء الفحص إلى أنه قد يكون هناك أيضًا اختلافات لأنظمة تشغيل AIX و Windows.
نطلق على هذا البرنامج الخبيث Kobalos نظرًا لصغر حجم شفرته وحيله العديدة "،
"لقد عملنا مع فريق أمان الكمبيوتر في CERN والمنظمات الأخرى المشاركة في مكافحة الهجمات على شبكات البحث العلمي. وفقا لهم ، فإن استخدام البرمجيات الخبيثة Kobalos مبتكر "
OpenSSH (OpenBSD Secure Shell) عبارة عن مجموعة من أدوات الكمبيوتر المجانية التي تسمح بالاتصالات الآمنة على شبكة الكمبيوتر باستخدام بروتوكول SSH. يشفر جميع حركات المرور للقضاء على اختطاف الاتصال والهجمات الأخرى. بالإضافة إلى ذلك ، يوفر OpenSSH طرق مصادقة متنوعة وخيارات تكوين متطورة.
حول كوبالوس
وبحسب مؤلفي ذلك التقرير ، لا تستهدف كوبالوس منتجات HPCs حصريًا. على الرغم من أن العديد من الأنظمة المخترقة كانت أجهزة الكمبيوتر الخارقة والخوادم في الأوساط الأكاديمية والبحثية ، تعرض مزود الإنترنت في آسيا ، ومزود خدمات الأمن في أمريكا الشمالية ، بالإضافة إلى بعض الخوادم الشخصية للخطر بسبب هذا التهديد.
كوبالوس هو باب خلفي عام ، لأنه يحتوي على أوامر لا تكشف عن نية المتسللين بالإضافة إلى يسمح بالوصول عن بعد إلى نظام الملفات ، ويوفر القدرة على فتح جلسات المحطة الطرفية ، ويسمح باتصالات الوكيل إلى الخوادم الأخرى المصابة بـ Kobalos.
على الرغم من أن تصميم Kobalos معقد ، إلا أن وظائفه محدودة وتقريباً مرتبطة بشكل كامل بوصول مخفي من خلال باب خلفي.
بمجرد نشر البرنامج الضار بالكامل ، يمنح الوصول إلى نظام ملفات النظام المخترق ويسمح بالوصول إلى محطة طرفية بعيدة تمنح المهاجمين القدرة على تنفيذ أوامر عشوائية.
وضع التشغيل
بطريقة، تعمل البرامج الضارة كغرس سلبي يفتح منفذ TCP على جهاز مصاب وينتظر اتصال وارد من مخترق. يسمح وضع آخر للبرامج الضارة بتحويل الخوادم المستهدفة إلى خوادم أوامر وتحكم (CoC) تتصل بها أجهزة Kobalos الأخرى المصابة. يمكن أيضًا استخدام الأجهزة المصابة كوكلاء للاتصال بالخوادم الأخرى التي تم اختراقها بواسطة البرامج الضارة.
ميزة مثيرة للاهتمام ما يميز هذه البرامج الضارة هو أن يتم تعبئة شفرتك في وظيفة واحدة وستحصل على مكالمة واحدة فقط من كود OpenSSH الشرعي. ومع ذلك ، فإنه يحتوي على تدفق غير خطي للتحكم ، ويستدعي هذه الوظيفة بشكل متكرر لأداء المهام الفرعية.
وجد الباحثون أن العملاء البعيدين لديهم ثلاثة خيارات للاتصال بكوبالوس:
- فتح منفذ TCP وانتظار اتصال وارد (يسمى أحيانًا "باب خلفي سلبي").
- اتصل بمثيل Kobalos آخر تم تكوينه ليكون بمثابة خادم.
- توقع اتصالات بخدمة شرعية قيد التشغيل بالفعل ، ولكنها تأتي من منفذ TCP مصدر معين (إصابة خادم OpenSSH قيد التشغيل).
رغم أن هناك عدة طرق يمكن للقراصنة من خلالها الوصول إلى جهاز مصاب مع طريقة كوبالوس الأكثر استخدامًا هو عندما يتم تضمين البرامج الضارة في الخادم القابل للتنفيذ OpenSSH وينشط كود الباب الخلفي إذا كان الاتصال من منفذ مصدر TCP معين.
تقوم البرامج الضارة أيضًا بتشفير حركة المرور من وإلى المتسللين ، وللقيام بذلك ، يجب على المتسللين المصادقة باستخدام مفتاح وكلمة مرور RSA-512. يقوم المفتاح بإنشاء وتشفير مفتاحين من 16 بايت يقومان بتشفير الاتصال باستخدام تشفير RC4.
أيضًا ، يمكن للباب الخلفي تبديل الاتصال إلى منفذ آخر والعمل كوكيل للوصول إلى الخوادم الأخرى المخترقة.
نظرًا لقاعدة الشفرة الصغيرة (24 كيلوبايت فقط) وكفاءتها ، تدعي ESET أن تطور Kobalos "نادرًا ما يظهر في برامج Linux الضارة".
مصدر: https://www.welivesecurity.com