Kobalos, un malware que roba les credencials SSH en Linux, BSD i Solaris

Darkcrizt

4 minuts

En un informe publicat recentment, els investigadors de seguretat de «ESET» van analitzar un malware que es dirigia principalment a les computadores d'alt rendiment (HPC), d'universitats i servidors de xarxes d'investigació.

Usant enginyeria inversa, van descobrir que un nou backdoor apunta superordinadors de tot el món, Sovint robant credencials per a connexions de xarxa segures utilitzant una versió infectada de programari OpenSSH.

"Fem enginyeria inversa per aquest codi maliciós petit, però complex, que és portàtil per a molts sistemes operatius, inclosos Linux, BSD i Solaris.

Alguns artefactes descoberts durant l'exploració indiquen que també pot haver-hi variacions per als sistemes operatius AIX i Windows.

Fem una crida a aquest malware Kobalos per la petita grandària del seu codi i els seus molts trucs ", 

"Hem treballat amb l'equip de seguretat informàtica de CERN i altres organitzacions involucrades en la lluita contra els atacs a les xarxes d'investigació científica. Segons ells, l'ús de l'malware Kobalos és innovador "

OpenSSH (OpenBSD Secure Shell) és un conjunt d'eines informàtiques gratuïtes que permeten comunicacions segures en una xarxa informàtica utilitzant el protocol SSH. Xifra tot el trànsit per eliminar el segrest de connexions i altres atacs. A més, OpenSSH proporciona diversos mètodes d'autenticació i opcions de configuració sofisticades.

sobre Kobalos

Segons els autors d'aquest informe, Kobalos no es dirigeix ​​exclusivament a les HPC. Encara que molts dels sistemes compromesos eren superordinadors i servidors a l'acadèmia i la investigació, un proveïdor d'Internet a Àsia, un proveïdor de serveis de seguretat d'Amèrica de Nord, així com alguns servidors personals, també es van veure compromesos per aquesta amenaça.

Kobalos és un backdoor genèric, ja que conté comandes que no revelen la intenció dels hackers, a més que permet l'accés remot a el sistema d'arxius, ofereix la possibilitat d'obrir sessions de terminal i permet connexions proxy a altres servidors infectats amb Kobalos.

Tot i que el disseny de Kobalos és complex, la seva funcionalitat és limitada i gairebé íntegrament relacionada amb l'accés ocult per una porta del darrere.

Un cop implementat per complet, el malware atorga accés a sistema d'arxius de sistema compromès i permet l'accés a una terminal remota que brinda als atacants la capacitat d'executar ordres arbitràries.

Mode de funcionament

En una manera, el malware actua com un implant passiu que obre un port TCP en una màquina infectada i espera una connexió entrant d'un hacker. Una altra manera permet que el malware converteixi els servidors de destinació en servidors de comandament i control (CoC) als quals es connecten altres dispositius infectats per Kobalos. Les màquines infectades també es poden utilitzar com a intermediari que es connecten a altres servidors compromesos pel malware.

Una característica interessant que distingeix aquest malware és que el seu codi està empaquetat en una única funció i només rep una trucada de el codi legítim d'OpenSSH. No obstant això, té un flux de control no lineal, cridant recursivament a aquesta funció per realitzar subtasques.

Els investigadors van trobar que els clients remots tenen tres opcions per connectar-se a Kobalos:

  1. Obrir un port TCP i esperar una connexió entrant (de vegades anomenada «porta del darrere passiva»).
  2. Connectar-se a una altra instància de Kobalos configurada per funcionar com a servidor.
  3. Esperar connexions a un servei legítim que ja s'estigui executant, però que provingui d'un port TCP d'origen específic (infecció de servidor OpenSSH en execució).

Encara que hi ha diverses formes en què els hackers poden arribar a una màquina infectada amb Kobalos, el mètode més utilitzat és quan el malware està incrustat en l'executable de l'servidor OpenSSH i activa el codi de l'backdoor si la connexió és des d'un port d'origen TCP específic.

El malware també xifra el trànsit cap i des dels hackers, per fer això, els hackers han autenticar amb una clau i contrasenya RSA-512. La clau genera i xifra dues claus de 16 bytes que xifren la comunicació mitjançant xifrat RC4.

A més, el backdoor pot canviar la comunicació a un altre port i actuar com un servidor intermediari per arribar a altres servidors compromesos.

Donada la seva petita base de codi (només 24 KB) i la seva eficiència, ESET afirma que la sofisticació de Kobalos «poques vegades es veu en el malware del Linux".

font: https://www.welivesecurity.com


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.