Äskettäin julkaistussa raportissa ESET-tietoturvatutkijat analysoivat haittaohjelman Se oli ensisijaisesti suunnattu suuritehoisille tietokoneille (HPC), yliopistojen ja tutkimusverkkopalvelimille.
Käänteisen tekniikan avulla huomasi, että uusi takaovi kohdistuu supertietokoneisiin ympäri maailmaa, usein varastamalla suojattujen verkkoyhteyksien tunnistetiedot käyttämällä OpenSSH-ohjelmiston saastunutta versiota.
"Palautimme tämän pienen, mutta monimutkaisen haittaohjelman, joka on kannettava moniin käyttöjärjestelmiin, mukaan lukien Linux, BSD ja Solaris.
Jotkut tarkistuksen aikana löydetyt artefaktit osoittavat, että AIX- ja Windows-käyttöjärjestelmissä voi olla myös muunnelmia.
Kutsumme tätä haittaohjelmaa Kobalosiksi koodin pienen koon ja monien temppujen takia ",
"Olemme työskennelleet CERNin tietoturvaryhmän ja muiden organisaatioiden kanssa, jotka ovat mukana taistelussa tieteellisiä tutkimusverkkoja vastaan. Heidän mukaansa Kobalos-haittaohjelmien käyttö on innovatiivista "
OpenSSH (OpenBSD Secure Shell) on joukko ilmaisia tietokonetyökaluja, jotka mahdollistavat turvallisen tietoliikenteen tietokoneverkossa SSH-protokollan avulla. Salaa kaiken liikenteen yhteyden kaappaamisen ja muiden hyökkäysten poistamiseksi. Lisäksi OpenSSH tarjoaa erilaisia todennusmenetelmiä ja hienostuneita kokoonpanovaihtoehtoja.
Tietoa henkilöstä Kobalos
Raportin laatijoiden mukaan Kobalos ei kohdistu yksinomaan HPC: hin. Vaikka monet vaarantuneista järjestelmistä olivatkin supertietokoneet ja palvelimet korkeakouluissa ja tutkimuksessa, Internet-palveluntarjoaja Aasiassa, tietoturvapalvelujen tarjoaja Pohjois-Amerikassa sekä jotkut henkilökohtaiset palvelimet vaarantivat myös tämän uhan.
Kobalos on yleinen takaovi, koska se sisältää komentoja, jotka eivät paljasta hakkereiden tarkoitusta mahdollistaa etäkäytön tiedostojärjestelmään, tarjoaa mahdollisuuden avata pääteistuntoja ja välityspalvelinyhteydet muille Kobalos-tartunnan saaneille palvelimille.
Vaikka Kobaloksen suunnittelu on monimutkainen, sen toiminnallisuus on rajallinen ja melkein kokonaan liittyvät piilotettuun pääsyyn takaoven kautta.
Täyden käyttöönoton jälkeen haittaohjelma antaa pääsyn vaarantuneen järjestelmän tiedostojärjestelmään ja sallii pääsyn etäpäätteeseen, joka antaa hyökkääjille mahdollisuuden suorittaa mielivaltaisia komentoja.
Käyttötila
Tavallaan, haittaohjelma toimii passiivisena implanttina, joka avaa TCP-portin tartunnan saaneella koneella ja odottaa hakkereilta tulevaa yhteyttä. Toisen tilan avulla haittaohjelmat voivat muuttaa kohdepalvelimet komento- ja ohjauspalvelimiksi (CoC), joihin muut Kobalos-tartunnan saaneet laitteet muodostavat yhteyden. Tartunnan saaneita koneita voidaan käyttää myös välityspalvelimina, jotka muodostavat yhteyden muihin haittaohjelmien vaarantamiin palvelimiin.
Mielenkiintoinen ominaisuus Mikä erottaa tämän haittaohjelman on se koodisi on pakattu yhteen toimintoon ja saat vain yhden puhelun laillisesta OpenSSH-koodista. Sillä on kuitenkin epälineaarinen ohjausvirta, joka kutsuu tätä toimintoa rekursiivisesti alitehtävien suorittamiseen.
Tutkijat havaitsivat, että etäasiakkailla on kolme vaihtoehtoa yhteyden muodostamiseen Kobalosiin:
- TCP-portin avaaminen ja saapuvan yhteyden odottaminen (joskus kutsutaan "passiiviseksi takaoveksi").
- Muodosta yhteys toiseen Kobalos-ilmentymään, joka on määritetty toimimaan palvelimena.
- Odotetaan yhteyksiä lailliseen palveluun, joka on jo käynnissä, mutta tulee tietystä lähde-TCP-portista (tartunta käynnissä olevasta OpenSSH-palvelimesta).
Vaikka hakkereilla on useita tapoja päästä tartunnan saaneen koneeseen menetelmällä Kobalos eniten käytetään, kun haittaohjelma on upotettu palvelimen suoritettavaan tiedostoon OpenSSH ja aktivoi takaoven koodin, jos yhteys on tietystä TCP-lähdeportista.
Haittaohjelma salaa myös hakkereista tulevan ja sieltä lähtevän liikenteen. Tätä varten hakkerien on todennettava RSA-512-avaimella ja salasanalla. Avain generoi ja salaa kaksi 16-tavuista avainta, jotka salaavat viestinnän RC4-salauksella.
Myös takaovi voi vaihtaa tiedonsiirron toiseen porttiin ja toimia välityspalvelimena tavoittaa muut vaarantuneet palvelimet.
Pienen koodikannan (vain 24 kt) ja tehokkuuden vuoksi ESET väittää, että Kobalosin hienostuneisuutta "nähdään harvoin Linux-haittaohjelmissa".
lähde: https://www.welivesecurity.com