Kobalos, malware koji krade SSH vjerodajnice na Linuxu, BSD-u i Solarisu

U nedavno objavljenom izvještaju, Istraživači sigurnosti "ESET" analizirali su zlonamjerni softver Prvenstveno je bio usmjeren na računare visokih performansi (HPC), univerzitetske i istraživačke mrežne servere.

Koristeći obrnuti inženjering, otkrio da novi backdoor cilja superračunare širom svijeta, često krađu vjerodajnica za sigurne mrežne veze pomoću zaražene verzije softvera OpenSSH.

„Preokrenuli smo ovaj mali, ali složeni malver, koji je prenosiv na mnoge operativne sisteme, uključujući Linux, BSD i Solaris.

Neki artefakti otkriveni tokom skeniranja ukazuju da mogu postojati i varijacije za AIX i Windows operativne sisteme.

Ovaj malware nazivamo Kobalos zbog male veličine koda i brojnih trikova ”, 

„Radili smo sa timom za računarsku sigurnost CERN-a i drugim organizacijama uključenim u borbu protiv napada na mreže naučno-istraživačkog rada. Prema njihovom mišljenju, upotreba malvera Kobalos je inovativna "

OpenSSH (OpenBSD Secure Shell) je skup besplatnih računarskih alata koji omogućavaju sigurnu komunikaciju na računarskoj mreži pomoću SSH protokola. Šifrira sav promet za uklanjanje otmice veze i drugih napada. Pored toga, OpenSSH pruža razne metode provjere autentičnosti i sofisticirane opcije konfiguracije.

O Kobalosu

Prema autorima tog izvještaja, Kobalos nije isključivo usmjeren na HPC. Iako su mnogi od ugroženih sistema bili superračunari i serveri u akademskoj zajednici i istraživanjima, Ova prijetnja ugrozila je internet provajdera u Aziji, pružatelja sigurnosnih usluga u Sjevernoj Americi, kao i neke lične servere.

Kobalos je generički backdoor, jer sadrži naredbe koje pored toga ne otkrivaju namjeru hakera omogućava daljinski pristup sistemu datoteka, nudi mogućnost otvaranja terminala i dopušta proxy veze na druge servere zaražene Kobalosom.

Iako je dizajn Kobalosa složen, njegova funkcionalnost je ograničena i gotovo u potpunosti povezan sa skrivenim pristupom kroz stražnja vrata.

Jednom u potpunosti razmješten, zlonamjerni softver omogućuje pristup datotečnom sistemu ugroženog sistema i omogućava pristup udaljenom terminalu koji napadačima daje mogućnost izvršavanja proizvoljnih naredbi.

Način rada

Na neki način, malware djeluje kao pasivni implantat koji otvara TCP port na zaraženom računaru i čeka dolaznu vezu od hakera. Drugi način omogućava zlonamjernom softveru da ciljane poslužitelje pretvori u servere za upravljanje i kontrolu (CoC) na koje se povezuju drugi uređaji zaraženi Kobalosom. Zaražene mašine mogu se koristiti i kao posrednici koji se povezuju s drugim serverima ugroženim zlonamjernim softverom.

Zanimljiva karakteristika Ono što ovaj malware razlikuje je to vaš kôd je spakiran u jednu funkciju i primite samo jedan poziv iz legitimnog OpenSSH koda. Međutim, on ima nelinearni tok kontrole, rekurzivno poziva ovu funkciju za izvođenje podzadataka.

Istraživači su otkrili da udaljeni klijenti imaju tri mogućnosti povezivanja s Kobalosom:

  1. Otvaranje TCP porta i čekanje dolazne veze (ponekad se naziva i "pasivni backdoor").
  2. Povežite se s drugom instancom Kobalosa konfiguriranom da djeluje kao server.
  3. Očekujte veze s legitimnom uslugom koja je već pokrenuta, ali dolazi s određenog izvornog TCP porta (zaraza s pokrenutog OpenSSH poslužitelja).

Iako postoji nekoliko načina na koji hakeri mogu doći do zaražene mašine sa metodom Kobalos najčešće se koristi kada je zlonamjerni softver ugrađen u izvršnu datoteku servera OpenSSH i aktivira stražnji kôd ako je veza s određenog TCP izvornog porta.

Zlonamjerni softver također šifrira promet prema i od hakera, da bi to učinili, hakeri se moraju ovjeriti pomoću RSA-512 ključa i lozinke. Ključ generira i šifrira dva 16-bajtna ključa koji šifriraju komunikaciju pomoću RC4 enkripcije.

Također, backdoor može prebaciti komunikaciju na drugi port i djelovati kao proxy za dosezanje drugih ugroženih servera.

S obzirom na malu bazu koda (samo 24 KB) i efikasnost, ESET tvrdi da se sofisticiranost Kobalosa "rijetko viđa u Linux malware-u".

Izvor: https://www.welivesecurity.com


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

Budite prvi koji komentarišete

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.