Kobalos, eine Malware, die SSH-Anmeldeinformationen unter Linux, BSD und Solaris stiehlt

Darkcrizt

4 Minuten

In einem kürzlich veröffentlichten Bericht "ESET" -Sicherheitsforscher analysierten eine Malware Es richtete sich hauptsächlich an Hochleistungscomputer (HPC), Universitäts- und Forschungsnetzwerkserver.

Reverse Engineering verwenden, entdeckte, dass eine neue Hintertür auf Supercomputer auf der ganzen Welt abzieltOft werden Anmeldeinformationen für sichere Netzwerkverbindungen mit einer infizierten Version der OpenSSH-Software gestohlen.

„Wir haben diese kleine, aber komplexe Malware rückentwickelt, die auf viele Betriebssysteme wie Linux, BSD und Solaris portierbar ist.

Einige beim Scannen entdeckte Artefakte weisen darauf hin, dass es auch Abweichungen für AIX- und Windows-Betriebssysteme geben kann.

Wir nennen diese Malware Kobalos wegen der geringen Größe des Codes und der vielen Tricks. “ 

„Wir haben mit dem Computersicherheitsteam des CERN und anderen Organisationen zusammengearbeitet, die an der Bekämpfung von Angriffen auf wissenschaftliche Forschungsnetzwerke beteiligt sind. Demnach ist die Verwendung von Kobalos-Malware innovativ. "

OpenSSH (OpenBSD Secure Shell) ist eine Reihe kostenloser Computer-Tools, die eine sichere Kommunikation in einem Computernetzwerk mithilfe des SSH-Protokolls ermöglichen. Verschlüsselt den gesamten Datenverkehr, um Verbindungsentführungen und andere Angriffe zu vermeiden. Darüber hinaus bietet OpenSSH verschiedene Authentifizierungsmethoden und ausgefeilte Konfigurationsoptionen.

Über Kobalos

Laut den Autoren dieses Berichts Kobalos zielt nicht ausschließlich auf HPCs ab. Obwohl viele der kompromittierten Systeme waren Supercomputer und Server in Wissenschaft und Forschung, Ein Internetanbieter in Asien, ein Sicherheitsdienstleister in Nordamerika sowie einige Personal Server waren ebenfalls von dieser Bedrohung betroffen.

Kobalos ist eine generische Hintertür, da es Befehle enthält, die nicht die Absicht der Hacker offenbaren, zusätzlich zu Ermöglicht den Fernzugriff auf das Dateisystem, bietet die Möglichkeit, Terminalsitzungen zu öffnen und Proxy-Verbindungen zu ermöglichen auf andere mit Kobalos infizierte Server.

Obwohl das Kobalos-Design komplex ist, ist seine Funktionalität eingeschränkt und fast ausschließlich mit dem verdeckten Zugang durch eine Hintertür verbunden.

Nach der vollständigen Bereitstellung gewährt die Malware Zugriff auf das Dateisystem des gefährdeten Systems und ermöglicht den Zugriff auf ein Remote-Terminal, über das Angreifer beliebige Befehle ausführen können.

Betriebsart

In gewisser Weise Die Malware fungiert als passives Implantat, das einen TCP-Port öffnet auf einem infizierten Computer und warten auf eine eingehende Verbindung von einem Hacker. In einem anderen Modus kann Malware Zielserver in Befehls- und Kontrollserver (CoC) verwandeln, mit denen andere mit Kobalos infizierte Geräte verbunden sind. Infizierte Computer können auch als Proxys verwendet werden, die eine Verbindung zu anderen Servern herstellen, die durch Malware gefährdet sind.

Ein interessantes Feature Was diese Malware auszeichnet, ist das Ihr Code ist in eine einzige Funktion gepackt und Sie erhalten nur einen Aufruf vom legitimen OpenSSH-Code. Es verfügt jedoch über einen nichtlinearen Steuerungsfluss, der diese Funktion rekursiv aufruft, um Unteraufgaben auszuführen.

Die Forscher fanden heraus, dass Remote-Clients drei Optionen für die Verbindung mit Kobalos haben:

  1. Öffnen Sie einen TCP-Port und warten Sie auf eine eingehende Verbindung (manchmal als "passive Hintertür" bezeichnet).
  2. Stellen Sie eine Verbindung zu einer anderen Kobalos-Instanz her, die als Server konfiguriert ist.
  3. Erwarten Sie Verbindungen zu einem legitimen Dienst, der bereits ausgeführt wird, aber von einem bestimmten Quell-TCP-Port stammt (Infektion vom laufenden OpenSSH-Server).

Obwohl Es gibt verschiedene Möglichkeiten, wie Hacker einen infizierten Computer erreichen können mit Kobalos die Methode Am häufigsten wird es verwendet, wenn die Malware in die ausführbare Datei des Servers eingebettet ist OpenSSH und aktiviert den Backdoor-Code, wenn die Verbindung von einem bestimmten TCP-Quellport stammt.

Malware verschlüsselt auch den Datenverkehr zu und von Hackern. Dazu müssen sich Hacker mit einem RSA-512-Schlüssel und einem Kennwort authentifizieren. Der Schlüssel generiert und verschlüsselt zwei 16-Byte-Schlüssel, die die Kommunikation mithilfe der RC4-Verschlüsselung verschlüsseln.

Außerdem kann die Hintertür die Kommunikation zu einem anderen Port umschalten und als Proxy fungieren, um andere gefährdete Server zu erreichen.

Aufgrund seiner kleinen Codebasis (nur 24 KB) und seiner Effizienz behauptet ESET, dass die Raffinesse von Kobalos "in Linux-Malware selten zu finden ist".

Quelle: https://www.welivesecurity.com


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.