Kobalos, en malware, der stjæler SSH-legitimationsoplysninger på Linux, BSD og Solaris

I en nyligt offentliggjort rapport "ESET" sikkerhedsforskere analyserede en malware Det var primært rettet mod højtydende computere (HPC), universitets- og forskningsnetværksservere.

Brug af reverse engineering, opdagede, at en ny bagdør målretter mod supercomputere rundt om i verden, stjæler ofte legitimationsoplysninger til sikre netværksforbindelser ved hjælp af en inficeret version af OpenSSH-softwaren.

”Vi omvendt konstruerede denne lille, men komplekse malware, som er bærbar til mange operativsystemer, inklusive Linux, BSD og Solaris.

Nogle artefakter, der blev opdaget under scanningen, indikerer, at der også kan være variationer for AIX- og Windows-operativsystemer.

Vi kalder denne malware Kobalos på grund af dens lille størrelse og dens mange tricks ”, 

”Vi har arbejdet med CERNs computersikkerhedsteam og andre organisationer, der er involveret i kampen mod angreb på videnskabelige forskningsnetværk. Ifølge dem er brugen af ​​Kobalos malware innovativ "

OpenSSH (OpenBSD Secure Shell) er et sæt gratis computerværktøjer, der tillader sikker kommunikation på et computernetværk ved hjælp af SSH-protokollen. Krypterer al trafik for at eliminere forbindelseskapring og andre angreb. Derudover tilbyder OpenSSH forskellige godkendelsesmetoder og sofistikerede konfigurationsindstillinger.

Om Kobalos

Ifølge forfatterne af denne rapport, Kobalos er ikke udelukkende målrettet mod HPC'er. Selvom mange af de kompromitterede systemer var supercomputere og servere i den akademiske verden og forskning, en internetudbyder i Asien, en sikkerhedstjenesteudbyder i Nordamerika samt nogle personlige servere blev også kompromitteret af denne trussel.

Kobalos er en generisk bagdør, da den indeholder kommandoer, der ikke afslører hackernes hensigt ud over giver fjernadgang til filsystemet, giver mulighed for at åbne terminalsessioner og tillader proxyforbindelser til andre servere, der er inficeret med Kobalos.

Selvom Kobalos-designet er komplekst, er dets funktionalitet begrænset og næsten udelukkende relateret til skjult adgang gennem en bagdør.

Når malware er implementeret fuldt ud, giver det adgang til det kompromitterede systems filsystem og giver adgang til en fjernterminal, der giver angribere mulighed for at udføre vilkårlige kommandoer.

Driftsform

På en måde, malware fungerer som et passivt implantat, der åbner en TCP-port på en inficeret maskine og venter på en indgående forbindelse fra en hacker. En anden tilstand gør det muligt for malware at omdanne målservere til kommando- og kontrolservere (CoC), som andre Kobalos-inficerede enheder forbinder til. Inficerede maskiner kan også bruges som proxyer, der opretter forbindelse til andre servere, der er kompromitteret af malware.

En interessant funktion Hvad der adskiller denne malware er, at din kode er pakket i en enkelt funktion, og du får kun et opkald fra den legitime OpenSSH-kode. Det har imidlertid en ikke-lineær strøm af kontrol, der rekursivt kalder denne funktion til at udføre underopgaver.

Forskerne fandt ud af, at fjernklienter har tre muligheder for at oprette forbindelse til Kobalos:

  1. Åbning af en TCP-port og venter på en indgående forbindelse (undertiden kaldet en "passiv bagdør").
  2. Opret forbindelse til en anden Kobalos-instans, der er konfigureret til at fungere som en server.
  3. Forvent forbindelser til en legitim tjeneste, der allerede kører, men kommer fra en bestemt TCP-portkilde (infektion fra den kørende OpenSSH-server).

Skønt der er flere måder, hvorpå hackere kan nå en inficeret maskine med Kobalos, metoden mest anvendte er, når malware er integreret i den eksekverbare server OpenSSH og aktiverer bagdørkoden, hvis forbindelsen er fra en bestemt TCP-kildeport.

Malware krypterer også trafik til og fra hackere. For at gøre dette skal hackere godkende med en RSA-512-nøgle og adgangskode. Nøglen genererer og krypterer to 16-byte nøgler, der krypterer kommunikationen ved hjælp af RC4-kryptering.

Bagdøren kan også skifte kommunikation til en anden port og fungere som en proxy for at nå ud til andre kompromitterede servere.

I betragtning af sin lille kodebase (kun 24 KB) og dens effektivitet hævder ESET, at sofistikering af Kobalos "sjældent ses i Linux-malware."

kilde: https://www.welivesecurity.com


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.