Σε μια πρόσφατα δημοσιευμένη έκθεση, Οι ερευνητές ασφαλείας "ESET" ανέλυσαν ένα κακόβουλο λογισμικό Απευθύνεται κυρίως σε υπολογιστές υψηλής απόδοσης (HPC), σε διακομιστές πανεπιστημίων και ερευνητικών δικτύων.
Χρησιμοποιώντας αντίστροφη μηχανική, ανακάλυψε ότι ένα νέο backdoor στοχεύει υπερυπολογιστές σε όλο τον κόσμο, συχνά κλέβει διαπιστευτήρια για ασφαλείς συνδέσεις δικτύου χρησιμοποιώντας μια μολυσμένη έκδοση του λογισμικού OpenSSH.
«Κατασκευάσαμε αντίστροφα αυτό το μικρό, αλλά περίπλοκο κακόβουλο λογισμικό, το οποίο είναι φορητό σε πολλά λειτουργικά συστήματα, συμπεριλαμβανομένων των Linux, BSD και Solaris.
Ορισμένα αντικείμενα που ανακαλύφθηκαν κατά τη σάρωση υποδεικνύουν ότι μπορεί επίσης να υπάρχουν παραλλαγές για τα λειτουργικά συστήματα AIX και Windows.
Το ονομάζουμε κακόβουλο λογισμικό Kobalos λόγω του μικρού μεγέθους του κώδικα και των πολλών τεχνών του »,
«Έχουμε συνεργαστεί με την ομάδα ασφάλειας υπολογιστών του CERN και άλλους οργανισμούς που συμμετέχουν στην καταπολέμηση των επιθέσεων σε δίκτυα επιστημονικής έρευνας. Σύμφωνα με αυτούς, η χρήση κακόβουλου λογισμικού Kobalos είναι καινοτόμος "
Το OpenSSH (OpenBSD Secure Shell) είναι ένα σύνολο δωρεάν εργαλείων υπολογιστών που επιτρέπουν ασφαλείς επικοινωνίες σε ένα δίκτυο υπολογιστών χρησιμοποιώντας το πρωτόκολλο SSH. Κρυπτογραφεί όλη την κυκλοφορία για την εξάλειψη της εισβολής σύνδεσης και άλλων επιθέσεων. Επιπλέον, το OpenSSH παρέχει διάφορες μεθόδους ελέγχου ταυτότητας και εξελιγμένες επιλογές διαμόρφωσης.
Σχετικά με τον Κόμπολο
Σύμφωνα με τους συγγραφείς αυτής της έκθεσης, Το Kobalos δεν στοχεύει αποκλειστικά τις HPC. Αν και πολλά από τα συμβιβασμένα συστήματα ήταν υπερυπολογιστές και διακομιστές στον ακαδημαϊκό χώρο και την έρευνα, Ένας πάροχος Διαδικτύου στην Ασία, ένας πάροχος υπηρεσιών ασφαλείας στη Βόρεια Αμερική, καθώς και ορισμένοι προσωπικοί διακομιστές διακυβεύτηκαν επίσης από αυτήν την απειλή.
Το Kobalos είναι μια γενική πίσω πόρτα, καθώς περιέχει εντολές που δεν αποκαλύπτουν την πρόθεση των χάκερ, επιπλέον επιτρέπει την απομακρυσμένη πρόσβαση στο σύστημα αρχείων, προσφέρει τη δυνατότητα ανοίγματος τερματικών συνεδριών και επιτρέπει συνδέσεις μεσολάβησης σε άλλους διακομιστές που έχουν μολυνθεί με το Kobalos.
Αν και ο σχεδιασμός Kobalos είναι περίπλοκος, η λειτουργικότητά του είναι περιορισμένη και σχεδόν εξ ολοκλήρου σχετίζεται με την κρυφή πρόσβαση μέσω μιας πίσω πόρτας.
Μόλις αναπτυχθεί πλήρως, το κακόβουλο λογισμικό παρέχει πρόσβαση στο παραβιασμένο σύστημα αρχείων συστήματος και επιτρέπει την πρόσβαση σε ένα απομακρυσμένο τερματικό που δίνει στους εισβολείς τη δυνατότητα να εκτελούν αυθαίρετες εντολές.
Λειτουργία λειτουργίας
Κατά μια έννοια, το κακόβουλο λογισμικό λειτουργεί ως παθητικό εμφύτευμα που ανοίγει μια θύρα TCP σε ένα μολυσμένο μηχάνημα και περιμένοντας μια εισερχόμενη σύνδεση από έναν χάκερ. Μια άλλη λειτουργία επιτρέπει στο κακόβουλο λογισμικό να μετατρέπει διακομιστές προορισμού σε διακομιστές εντολών και ελέγχου (CoC) με τους οποίους συνδέονται άλλες συσκευές που έχουν μολυνθεί από το Kobalos. Τα μολυσμένα μηχανήματα μπορούν επίσης να χρησιμοποιηθούν ως διακομιστές μεσολάβησης που συνδέονται με άλλους διακομιστές που έχουν παραβιαστεί από κακόβουλο λογισμικό.
Ένα ενδιαφέρον χαρακτηριστικό Αυτό που διακρίνει αυτό το κακόβουλο λογισμικό είναι αυτό ο κωδικός σας είναι συσκευασμένος σε μία λειτουργία και λαμβάνετε μόνο μία κλήση από τον νόμιμο κωδικό OpenSSH. Ωστόσο, έχει μια μη γραμμική ροή ελέγχου, καλεί αναδρομικά αυτή τη λειτουργία για να εκτελέσει δευτερεύουσες εργασίες.
Οι ερευνητές διαπίστωσαν ότι οι απομακρυσμένοι πελάτες έχουν τρεις επιλογές σύνδεσης στο Kobalos:
- Ανοίξτε μια θύρα TCP και περιμένετε μια εισερχόμενη σύνδεση (μερικές φορές ονομάζεται "παθητική πίσω πόρτα").
- Συνδεθείτε σε μια άλλη παρουσία Kobalos που έχει διαμορφωθεί ώστε να λειτουργεί ως διακομιστής.
- Αναμένετε συνδέσεις σε μια νόμιμη υπηρεσία που εκτελείται ήδη, αλλά προέρχεται από μια συγκεκριμένη θύρα προέλευσης TCP (εκτελείται μόλυνση διακομιστή OpenSSH).
Αν και υπάρχουν διάφοροι τρόποι με τους οποίους οι χάκερ μπορούν να φτάσουν σε ένα μολυσμένο μηχάνημα με τον Kobalos, τη μέθοδο χρησιμοποιείται περισσότερο όταν το κακόβουλο λογισμικό είναι ενσωματωμένο στον εκτελέσιμο διακομιστή OpenSSH και ενεργοποιεί τον κωδικό backdoor εάν η σύνδεση προέρχεται από μια συγκεκριμένη θύρα προέλευσης TCP.
Το κακόβουλο λογισμικό κρυπτογραφεί επίσης την επισκεψιμότητα από και προς χάκερ, για να γίνει αυτό, οι εισβολείς πρέπει να κάνουν έλεγχο ταυτότητας με κλειδί και κωδικό πρόσβασης RSA-512. Το κλειδί δημιουργεί και κρυπτογραφεί δύο κλειδιά 16 byte που κρυπτογραφούν την επικοινωνία χρησιμοποιώντας κρυπτογράφηση RC4.
Επίσης, το backdoor μπορεί να αλλάξει επικοινωνία σε άλλη θύρα και να ενεργήσει ως διακομιστής μεσολάβησης για να προσεγγίσει άλλους παραβιασμένους διακομιστές.
Δεδομένης της μικρής βάσης κώδικα (μόνο 24 KB) και της αποτελεσματικότητάς του, η ESET ισχυρίζεται ότι η πολυπλοκότητα του Kobalos «σπάνια εμφανίζεται σε κακόβουλο λογισμικό Linux».
πηγή: https://www.welivesecurity.com