В наскоро публикуван доклад, Изследователите на сигурността на "ESET" анализираха злонамерен софтуер Той беше насочен предимно към високопроизводителни компютри (HPC), университетски и изследователски мрежови сървъри.
Използвайки обратен инженеринг, откри, че нова задна врата се насочва към суперкомпютри по целия свят, често крадат идентификационни данни за защитени мрежови връзки с помощта на заразена версия на софтуера OpenSSH.
„Променихме този малък, но сложен зловреден софтуер, който е преносим към много операционни системи, включително Linux, BSD и Solaris.
Някои артефакти, открити по време на сканирането, показват, че може да има вариации и за операционните системи AIX и Windows.
Ние наричаме този зловреден софтуер Kobalos поради малкия размер на неговия код и многото му трикове ”,
„Работили сме с екипа за компютърна сигурност на CERN и други организации, участващи в борбата срещу атаките срещу научноизследователски мрежи. Според тях използването на зловреден софтуер Kobalos е иновативно "
OpenSSH (OpenBSD Secure Shell) е набор от безплатни компютърни инструменти, които позволяват сигурна комуникация в компютърна мрежа, използвайки SSH протокола. Шифрова целия трафик, за да премахне отвличането на връзки и други атаки. В допълнение, OpenSSH предоставя различни методи за удостоверяване и усъвършенствани опции за конфигуриране.
За Кобалос
Според авторите на този доклад, Kobalos не е насочен изключително към HPC. Въпреки че много от компрометираните системи бяха суперкомпютри и сървъри в академичните среди и изследвания, интернет доставчик в Азия, доставчик на услуги за сигурност в Северна Америка, както и някои лични сървъри също бяха компрометирани от тази заплаха.
Kobalos е родова задна врата, тъй като съдържа команди, които не разкриват намерението на хакерите, освен позволява отдалечен достъп до файловата система, предлага възможност за отваряне на терминални сесии и позволява прокси връзки към други сървъри, заразени с Kobalos.
Въпреки че дизайнът на Kobalos е сложен, неговата функционалност е ограничена и почти изцяло свързани със скрит достъп през задната врата.
След като бъде напълно разгърнат, зловредният софтуер предоставя достъп до компрометираната системна файлова система и позволява достъп до отдалечен терминал, който дава възможност на нападателите да изпълняват произволни команди.
Режим на работа
По някакъв начин, зловредният софтуер действа като пасивен имплант, който отваря TCP порт на заразена машина и чака входяща връзка от хакер. Друг режим позволява на зловредния софтуер да превърне целевите сървъри в командни и контролни (CoC) сървъри, към които се свързват други заразени с Kobalos устройства. Заразените машини могат да се използват и като прокси сървъри, свързващи се с други сървъри, компрометирани от злонамерен софтуер.
Интересна характеристика Това, което отличава този зловреден софтуер, е това вашият код е опакован в една функция и получавате само едно обаждане от легитимния OpenSSH код. Въпреки това, той има нелинеен поток от контрол, рекурсивно извикващ тази функция за изпълнение на подзадачи.
Изследователите установили, че отдалечените клиенти имат три възможности за свързване с Кобалос:
- Отворете TCP порт и изчакайте входяща връзка (понякога наричана "пасивна задна врата").
- Свържете се с друг екземпляр на Kobalos, конфигуриран да служи като сървър.
- Очаквайте връзки с легитимна услуга, която вече се изпълнява, но идва от определен източник TCP порт (стартира зараза на OpenSSH сървър).
Въпреки че има няколко начина, по които хакерите могат да достигнат до заразена машина с Кобалос, методът най-често се използва, когато зловредният софтуер е вграден в изпълнимия файл на сървъра OpenSSH и активира бекдор кода, ако връзката е от определен TCP порт източник.
Злонамереният софтуер също криптира трафика към и от хакери, за да направят това, хакерите трябва да се удостоверят с RSA-512 ключ и парола. Ключът генерира и шифрова два 16-байтови ключа, които криптират комуникацията, използвайки RC4 криптиране.
Също така, задната врата може да превключва комуникацията към друг порт и да действа като прокси за достигане до други компрометирани сървъри.
Предвид малката си кодова база (само 24 KB) и ефективността си, ESET твърди, че изтънчеността на Kobalos е „рядко срещана в зловредния софтуер на Linux“.
Fuente: https://www.welivesecurity.com