Hiljuti avaldatud aruandes ESETi turvauurijad analüüsisid pahavara See oli peamiselt suunatud suure jõudlusega arvutitele (HPC), ülikoolide ja teadusuuringute võrguserveritele.
Kasutades pöördtehnoloogiat, avastas, et uus tagauks on suunatud superarvutitele kogu maailmas, varastades sageli turvaliste võrguühenduste mandaate, kasutades OpenSSH tarkvara nakatatud versiooni.
„Töötasime ümber selle väikese, kuid keeruka pahavara, mis on kaasaskantav paljudesse operatsioonisüsteemidesse, sealhulgas Linuxi, BSD-d ja Solarist.
Mõned skannimise käigus avastatud artefaktid viitavad sellele, et AIX ja Windowsi operatsioonisüsteemidel võib olla ka variatsioone.
Nimetame seda pahavara Kobaloseks selle koodi väiksuse ja paljude trikkide tõttu ”,
„Oleme teinud koostööd CERNi arvutiturbemeeskonna ja teiste organisatsioonidega, kes on seotud võitlusega teaduslike uurimisvõrkude rünnakute vastu. Nende sõnul on Kobalose pahavara kasutamine innovaatiline "
OpenSSH (OpenBSD Secure Shell) on tasuta arvutitööriistade komplekt, mis võimaldab turvalist suhtlust arvutivõrgus SSH-protokolli abil. Krüpteerib kogu liikluse, et välistada ühenduse kaaperdamine ja muud rünnakud. Lisaks pakub OpenSSH mitmesuguseid autentimismeetodeid ja keerukaid seadistamisvõimalusi.
Kobalose kohta
Selle aruande autorite sõnul on Kobalos ei sihi ainult HPC-sid. Kuigi paljud ohustatud süsteemid olid superarvutid ja serverid akadeemilises ringkonnas ja teadusuuringutes, see oht ohustas ka Aasias asuvat Interneti-teenuse pakkujat, Põhja-Ameerika turvateenuste pakkujat ja mõnda isiklikku serverit.
Kobalos on üldine tagauks, kuna see sisaldab käske, mis lisaks häkkerite kavatsustele ei paljasta võimaldab kaugjuurdepääsu failisüsteemile, pakub võimalust avada terminaliseansse ja võimaldab puhverserveriühendusi teistele Kobalosega nakatunud serveritele.
Kuigi Kobalose disain on keeruline, on selle funktsionaalsus piiratud ja peaaegu täielikult seotud varjatud juurdepääsuga tagaukse kaudu.
Pärast täielikku rakendamist annab pahavara juurdepääsu rikutud süsteemi failisüsteemile ja võimaldab juurdepääsu kaugterminalile, mis annab ründajatele võimaluse suvalisi käske täita.
Töörežiim
Mingil moel, pahavara toimib passiivse implantaadina, mis avab TCP-pordi nakatunud masinas ja ootab häkkerilt sissetulevat ühendust. Teine režiim võimaldab pahavaral muuta sihtserverid käsu- ja kontrollserveriteks (CoC), millega muud Kobalosega nakatunud seadmed ühenduvad. Nakatunud masinaid saab kasutada ka puhverserveritena, mis ühendavad teisi pahavara poolt ohustatud servereid.
Huvitav omadus Seda õelvara eristab see teie kood on pakitud ühte funktsiooni ja seaduslikust OpenSSH-koodist saate ainult ühe kõne. Sellel on aga mittelineaarne juhtimisvoog, kutsudes seda funktsiooni rekursiivselt alamülesannete täitmiseks.
Teadlased leidsid, et kaugklientidel on Kobalosega ühenduse loomiseks kolm võimalust:
- TCP-pordi avamine ja sissetuleva ühenduse (mida mõnikord nimetatakse "passiivseks tagaukseks") ootamine.
- Looge ühendus teise Kobalose eksemplariga, mis on konfigureeritud serveriks.
- Oodake ühendusi legitiimse teenusega, mis juba töötab, kuid pärineb konkreetsest allikast TCP-porti (töötab OpenSSH-i serveri nakkus).
Kuigi häkkerid saavad nakatunud masinasse jõuda mitmel viisil meetodiga Kobalos enim kasutatakse siis, kui pahavara on serveri käivitatavasse faili sisse põimitud OpenSSH ja aktiveerib tagaukse koodi, kui ühendus on pärit konkreetsest TCP-lähtekoha porti.
Pahavara krüpteerib ka liikluse häkkeritesse ja häkkeritelt, selleks peavad häkkerid autentima RSA-512 võtme ja parooliga. Võti genereerib ja krüpteerib kaks 16-baidist võtit, mis krüptivad suhtluse RC4 krüptimise abil.
Samuti võib tagauks lülitada ühenduse teise porti ja olla puhverserver, et jõuda teiste ohustatud serveriteni.
Arvestades selle väikest koodibaasi (ainult 24 KB) ja tõhusust, väidab ESET, et Kobalose keerukust nähakse "Linuxi pahavaras harva".
allikas: https://www.welivesecurity.com