V nedávno zveřejněné zprávě Výzkumní pracovníci společnosti ESET analyzovali malware Zaměřeno bylo především na vysoce výkonné počítače (HPC), univerzitní a výzkumné síťové servery.
Pomocí reverzního inženýrství objevil, že nová zadní vrátka cílí na superpočítače po celém světě, často krádež pověření pro zabezpečené síťové připojení pomocí infikované verze softwaru OpenSSH.
"Zpětně jsme vyvinuli tento malý, ale složitý malware, který je přenosný do mnoha operačních systémů, včetně Linux, BSD a Solaris."
Některé artefakty objevené během kontroly naznačují, že mohou existovat také variace pro operační systémy AIX a Windows.
Tento malware nazýváme Kobalos kvůli malé velikosti jeho kódu a mnoha trikům “,
"Spolupracovali jsme s týmem počítačové bezpečnosti CERN a dalšími organizacemi zapojenými do boje proti útokům na sítě vědeckého výzkumu." Podle nich je používání malwaru Kobalos inovativní “
OpenSSH (OpenBSD Secure Shell) je sada bezplatných počítačových nástrojů, které umožňují zabezpečenou komunikaci v počítačové síti pomocí protokolu SSH. Šifruje veškerý provoz a eliminuje tak únos připojení a další útoky. OpenSSH navíc poskytuje různé metody ověřování a sofistikované možnosti konfigurace.
O společnosti Kobalos
Podle autorů této zprávy Kobalos se nezaměřuje výhradně na HPC. Ačkoli mnoho z ohrožených systémů bylo superpočítače a servery v akademické sféře a výzkumu, poskytovatel internetu v Asii, poskytovatel bezpečnostních služeb v Severní Americe a také některé osobní servery byly touto hrozbou ohroženy.
Kobalos je obecný backdoor, protože obsahuje příkazy, které kromě toho neodhalí záměr hackerů umožňuje vzdálený přístup k systému souborů, nabízí možnost otevírat relace terminálu a umožňuje připojení proxy na jiné servery infikované Kobalosem.
Ačkoli je design Kobalos složitý, jeho funkčnost je omezená a téměř úplně souvisí se skrytým přístupem zadními dveřmi.
Jakmile je malware plně implementován, uděluje přístup k souborovému systému napadeného systému a umožňuje přístup ke vzdálenému terminálu, který umožňuje útočníkům provádět libovolné příkazy.
Provozní režim
Způsobem, malware funguje jako pasivní implantát, který otevírá port TCP na infikovaném počítači a čeká na příchozí připojení od hackera. Jiný režim umožňuje malwaru přeměnit cílové servery na servery velení a řízení (CoC), ke kterým se připojují další zařízení infikovaná Kobalosem. Infikované počítače lze také použít jako proxy připojující se k jiným serverům ohroženým malwarem.
Zajímavá funkce To, co tento malware odlišuje, je to váš kód je zabalen do jediné funkce a z legitimního kódu OpenSSH dostanete pouze jeden hovor. Má však nelineární tok řízení, rekurzivně volá tuto funkci k provádění dílčích úkolů.
Vědci zjistili, že vzdálení klienti mají tři možnosti připojení ke Kobalosu:
- Otevření portu TCP a čekání na příchozí připojení (někdy se tomu říká „pasivní zadní vrátka“).
- Připojte se k jiné instanci Kobalos nakonfigurované tak, aby sloužila jako server.
- Očekávejte připojení k legitimní službě, která je již spuštěna, ale přichází z konkrétního zdrojového portu TCP (běží infekce serveru OpenSSH).
Ačkoli existuje několik způsobů, jak se hackeři mohou dostat k infikovanému počítači s metodou Kobalos nejpoužívanější je, když je malware vložen do spustitelného souboru serveru OpenSSH a aktivuje kód backdoor, pokud je připojení ze specifického zdrojového portu TCP.
Malware také šifruje přenos do a od hackerů, aby to mohli udělat, musí se hackeři autentizovat pomocí klíče a hesla RSA-512. Klíč generuje a šifruje dva 16bajtové klíče, které šifrují komunikaci pomocí šifrování RC4.
Backdoor také může přepnout komunikaci na jiný port a fungovat jako proxy, aby se dostal k dalším ohroženým serverům.
Vzhledem ke své malé kódové základně (pouze 24 kB) a její efektivitě uvádí ESET, že sofistikovanost Kobalosu je „v malwaru Linuxu zřídka vidět“.
zdroj: https://www.welivesecurity.com