Kobalos, malware a ghoid dintiúir SSH ar Linux, BSD agus Solaris

I dtuarascáil a foilsíodh le déanaí, Rinne taighdeoirí slándála "ESET" anailís ar malware Bhí sé dírithe go príomha ar ríomhairí ardfheidhmíochta (HPC), freastalaithe líonra ollscoile agus taighde.

Ag baint úsáide as innealtóireacht droim ar ais, fuair sé amach go ndíríonn backdoor nua ar supercomputers ar fud an domhain, go minic ag goid dintiúir do naisc líonra slána ag úsáid leagan ionfhabhtaithe de bhogearraí OpenSSH.

“Rinneamar innealtóireacht ar an malware beag ach casta seo, atá iniompartha do go leor córais oibriúcháin, lena n-áirítear Linux, BSD, agus Solaris.

Tugann roinnt déantán a aimsíodh le linn an scanadh le fios go bhféadfadh éagsúlachtaí a bheith ann freisin do chórais oibriúcháin AIX agus Windows.

Tugaimid Kobalos an malware seo air mar gheall ar mhéid beag a chód agus a iliomad cleasanna ”, 

“D'oibríomar le foireann slándála ríomhairí CERN agus le heagraíochtaí eile a raibh baint acu leis an gcomhrac i gcoinne ionsaithe ar líonraí taighde eolaíochta. Dar leo, tá úsáid malware Kobalos nuálach "

Is éard atá in OpenSSH (OpenBSD Secure Shell) tacar uirlisí ríomhaireachta saor in aisce a cheadaíonn cumarsáid shlán ar líonra ríomhairí agus an prótacal SSH á úsáid. Criptíonn sé an trácht go léir chun deireadh a chur le fuadach nasc agus ionsaithe eile. Ina theannta sin, soláthraíonn OpenSSH modhanna fíordheimhnithe éagsúla agus roghanna cumraíochta sofaisticiúla.

Maidir le Kobalos

De réir údair na tuarascála sin, Níl Kobalos ag díriú go heisiach ar HPCanna. Cé go raibh go leor de na córais atá i gcontúirt supercomputers agus freastalaithe sa saol acadúil agus taighde, chuir an bhagairt seo isteach ar sholáthraí Idirlín san Áise, soláthraí seirbhíse slándála i Meiriceá Thuaidh, chomh maith le roinnt freastalaithe pearsanta.

Is cúlra cineálach é Kobalos, mar tá orduithe ann nach nochtann rún na hackers, móide ceadaíonn cianrochtain ar an gcóras comhad, cuireann sé ar a chumas seisiúin teirminéil a oscailt, agus ceadaíonn sé naisc seachfhreastalaí chuig freastalaithe eile atá ionfhabhtaithe le Kobalos.

Cé go bhfuil dearadh Kobalos casta, tá a fheidhmiúlacht teoranta agus bhain sé go hiomlán le rochtain cheilte trí dhoras cúil.

Nuair a bheidh sé imscartha go hiomlán, tugann an malware rochtain ar chóras comhad an chórais chomhréitigh agus tugann sé rochtain ar chríochfort iargúlta a thugann an cumas d’ionsaitheoirí orduithe treallach a fhorghníomhú.

Modh oibríochta

Ar bhealach, feidhmíonn an malware mar ionchlannán éighníomhach a osclaíonn calafort TCP ar mheaisín ionfhabhtaithe agus ag fanacht le nasc ag teacht isteach ó hacaire. Ligeann modh eile do malware freastalaithe sprice a iompú ina bhfreastalaithe ceannais agus rialaithe (CoC) a nascann feistí eile atá ionfhabhtaithe le Kobalos. Is féidir meaisíní ionfhabhtaithe a úsáid freisin mar proxies a nascann le freastalaithe eile atá i gcontúirt ag malware.

Gné spéisiúil Is é an rud a dhéanann idirdhealú idir an malware seo agus tá do chód pacáilte in aon fheidhm amháin agus ní fhaigheann tú ach glao amháin ón gcód dlisteanach OpenSSH. Mar sin féin, tá sreabhadh rialaithe neamhlíneach aige, ag glaoch go hathchúrsach ar an bhfeidhm seo subtasks a dhéanamh.

Fuair ​​na taighdeoirí go bhfuil trí rogha ag cliaint iargúlta chun nascadh le Kobalos:

  1. Port TCP a oscailt agus fanacht le nasc ag teacht isteach (ar a dtugtar "backdoor éighníomhach" uaireanta).
  2. Ceangail le sampla Kobalos eile atá cumraithe chun gníomhú mar fhreastalaí.
  3. Bí ag súil le naisc le seirbhís dlisteanach atá ag rith cheana féin, ach atá ag teacht ó chalafort TCP foinse ar leith (ionfhabhtú freastalaí OpenSSH ag rith).

Cé go tá bealaí éagsúla ann gur féidir le hackers meaisín ionfhabhtaithe a bhaint amach le Kobalos, an modh úsáidtear an chuid is mó nuair a bhíonn malware leabaithe sa inrite freastalaí OpenSSH agus gníomhaíonn sé an cód backdoor má tá an nasc ó phort foinse sonrach TCP.

Déanann Malware trácht a chriptiú chuig hackers agus uathu, chun é seo a dhéanamh, ní mór do hackers fíordheimhniú a dhéanamh le heochair agus pasfhocal RSA-512. Gineann agus criptíonn an eochair dhá eochracha 16-beart a chriptíonn an chumarsáid trí chriptiú RC4 a úsáid.

Chomh maith leis sin, is féidir leis an gcúlstóras cumarsáid a athrú go calafort eile agus gníomhú mar sheachfhreastalaí chun freastalaithe comhréitigh eile a bhaint amach.

I bhfianaise a bhonn cód beag (24 KB amháin) agus a éifeachtúlacht, éilíonn ESET gur annamh a fheictear sofaisticiúlacht Kobalos i malware Linux.

Fuente: https://www.welivesecurity.com


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.