Kobalos, un malware qui vole les informations d'identification SSH sur Linux, BSD et Solaris

Darkcrizt

Minutes 4

Dans un rapport récemment publié, Les chercheurs en sécurité «ESET» ont analysé un malware Il était principalement destiné aux ordinateurs haute performance (HPC), aux serveurs universitaires et aux réseaux de recherche.

Utilisation de l'ingénierie inverse, a découvert qu'une nouvelle porte dérobée cible les supercalculateurs du monde entier, volent souvent des informations d'identification pour des connexions réseau sécurisées à l'aide d'une version infectée du logiciel OpenSSH.

«Nous avons procédé à une ingénierie inverse de ce logiciel malveillant petit mais complexe, portable sur de nombreux systèmes d'exploitation, y compris Linux, BSD et Solaris.

Certains artefacts découverts lors de l'analyse indiquent qu'il peut également exister des variations pour les systèmes d'exploitation AIX et Windows.

Nous appelons ce malware Kobalos en raison de la petite taille de son code et de ses nombreuses astuces », 

«Nous avons travaillé avec l'équipe de sécurité informatique du CERN et d'autres organisations impliquées dans la lutte contre les attaques contre les réseaux de recherche scientifique. Selon eux, l'utilisation du malware Kobalos est innovante "

OpenSSH (OpenBSD Secure Shell) est un ensemble d'outils informatiques gratuits qui permettent des communications sécurisées sur un réseau informatique en utilisant le protocole SSH. Crypte tout le trafic pour éliminer les détournements de connexion et autres attaques. De plus, OpenSSH fournit diverses méthodes d'authentification et des options de configuration sophistiquées.

À propos de Kobalos

Selon les auteurs de ce rapport, Kobalos ne cible pas exclusivement les HPC. Bien que de nombreux systèmes compromis aient été supercalculateurs et serveurs dans les universités et la recherche, un fournisseur Internet en Asie, un fournisseur de services de sécurité en Amérique du Nord, ainsi que certains serveurs personnels ont également été compromis par cette menace.

Kobalos est une porte dérobée générique, car il contient des commandes qui ne révèlent pas l'intention des hackers, en plus de permet l'accès à distance au système de fichiers, offre la possibilité d'ouvrir des sessions de terminal et autorise les connexions proxy à d'autres serveurs infectés par Kobalos.

Bien que la conception de Kobalos soit complexe, sa fonctionnalité est limitée et presque entièrement lié à l'accès caché par une porte arrière.

Une fois pleinement déployé, le logiciel malveillant autorise l'accès au système de fichiers du système compromis et autorise l'accès à un terminal distant qui donne aux attaquants la possibilité d'exécuter des commandes arbitraires.

Mode de fonctionnement

Dans un sens, le malware agit comme un implant passif qui ouvre un port TCP sur une machine infectée et en attente d'une connexion entrante d'un pirate informatique. Un autre mode permet aux logiciels malveillants de transformer les serveurs cibles en serveurs de commande et de contrôle (CoC) auxquels se connectent d'autres appareils infectés par Kobalos. Les machines infectées peuvent également être utilisées comme proxys se connectant à d'autres serveurs compromis par des logiciels malveillants.

Une fonctionnalité intéressante Ce qui distingue ce malware, c'est que votre code est emballé dans une seule fonction et vous ne recevez qu'un seul appel du code OpenSSH légitime. Cependant, il a un flux de contrôle non linéaire, appelant de manière récursive cette fonction pour effectuer des sous-tâches.

Les chercheurs ont constaté que les clients distants avaient trois options pour se connecter à Kobalos:

  1. Ouverture d'un port TCP et attente d'une connexion entrante (parfois appelée «porte dérobée passive»).
  2. Connectez-vous à une autre instance Kobalos configurée pour agir en tant que serveur.
  3. Attendez-vous à des connexions à un service légitime déjà en cours d'exécution, mais provenant d'un port TCP source spécifique (infection du serveur OpenSSH en cours d'exécution).

Bien que il existe plusieurs façons pour les pirates d'accéder à une machine infectée avec Kobalos, la méthode le plus utilisé est lorsque le malware est intégré dans l'exécutable du serveur OpenSSH et active le code de porte dérobée si la connexion provient d'un port source TCP spécifique.

Les logiciels malveillants crypte également le trafic vers et depuis les pirates, pour ce faire, les pirates doivent s'authentifier avec une clé et un mot de passe RSA-512. La clé génère et crypte deux clés de 16 octets qui cryptent la communication à l'aide du cryptage RC4.

En outre, la porte dérobée peut basculer la communication vers un autre port et agir en tant que proxy pour atteindre d'autres serveurs compromis.

Compte tenu de sa petite base de code (seulement 24 Ko) et de son efficacité, ESET affirme que la sophistication de Kobalos «est rarement vue dans les malwares Linux».

source: https://www.welivesecurity.com


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.