Kobalos, un malware que rouba as credenciais SSH en Linux, BSD e Solaris

Nun informe publicado recentemente, Investigadores de seguridade "ESET" analizaron un malware Dirixíase principalmente a ordenadores de alto rendemento (HPC), servidores universitarios e de rede de investigación.

Usando enxeñería inversa, descubriu que unha nova porta traseira ten como obxectivo as supercomputadoras de todo o mundo, moitas veces roubando credenciais para conexións de rede seguras usando unha versión infectada do software OpenSSH.

“Inventamos este pequeno pero complexo malware que é portátil para moitos sistemas operativos, incluídos Linux, BSD e Solaris.

Algúns artefactos descubertos durante a exploración indican que tamén pode haber variacións para os sistemas operativos AIX e Windows.

Chamamos a este malware Kobalos polo pequeno tamaño do seu código e os seus moitos trucos ”, 

"Traballamos co equipo de seguridade informática do CERN e outras organizacións implicadas na loita contra ataques a redes de investigación científica. Segundo eles, o uso de malware Kobalos é innovador "

OpenSSH (OpenBSD Secure Shell) é un conxunto de ferramentas informáticas gratuítas que permiten comunicacións seguras nunha rede informática mediante o protocolo SSH. Cifra todo o tráfico para eliminar o secuestro de conexións e outros ataques. Ademais, OpenSSH ofrece varios métodos de autenticación e opcións de configuración sofisticadas.

Acerca de Kobalos

Segundo os autores dese informe, Kobalos non está dirixido exclusivamente aos HPC. Aínda que moitos dos sistemas comprometidos foron supercomputadores e servidores na academia e investigación, esta ameaza tamén comprometía a un provedor de Internet en Asia, un provedor de servizos de seguridade en América do Norte e algúns servidores persoais.

Kobalos é unha porta traseira xenérica, xa que contén comandos que non revelan a intención dos hackers, ademais de permite o acceso remoto ao sistema de ficheiros, ofrece a posibilidade de abrir sesións de terminal e permite conexións proxy a outros servidores infectados con Kobalos.

Aínda que o deseño de Kobalos é complexo, a súa funcionalidade é limitada e case na súa totalidade relacionado co acceso oculto por unha porta traseira.

Unha vez despregado por completo, o malware concede acceso ao sistema de ficheiros do sistema comprometido e permite o acceso a un terminal remoto que permite aos atacantes executar comandos arbitrarios.

Modo de funcionamento

En certo xeito, o malware actúa como un implante pasivo que abre un porto TCP nunha máquina infectada e á espera dunha conexión entrante dun hacker. Outro modo permite que o malware converta os servidores de destino en servidores de comando e control (CoC) aos que se conectan outros dispositivos infectados por Kobalos. As máquinas infectadas tamén se poden usar como proxies que se conectan a outros servidores comprometidos por malware.

Unha característica interesante O que distingue a este malware é que o seu código está empaquetado nunha única función e só recibe unha chamada desde o código OpenSSH lexítimo. Non obstante, ten un fluxo de control non lineal, chamando recursivamente a esta función para realizar subtarefas.

Os investigadores descubriron que os clientes remotos teñen tres opcións para conectarse a Kobalos:

  1. Abra un porto TCP e agarde por unha conexión entrante (ás veces chamada "porta traseira pasiva").
  2. Conéctate a outra instancia de Kobalos configurada para servir como servidor.
  3. Agarde conexións a un servizo lexítimo que xa está en execución, pero que provén dun porto TCP de orixe específico (infección do servidor OpenSSH en execución).

Aínda que hai varias formas en que os hackers poden chegar a unha máquina infectada con Kobalos, o método o máis usado é cando o malware está incrustado no executable do servidor OpenSSH e activa o código da porta traseira se a conexión provén dun porto de orixe TCP específico.

O malware tamén cifra o tráfico desde e cara aos piratas informáticos; para iso, os piratas informáticos deben autenticarse cunha clave RSA-512 e un contrasinal. A clave xera e cifra dúas claves de 16 bytes que cifran a comunicación mediante cifrado RC4.

Ademais, a porta traseira pode cambiar a comunicación a outro porto e actuar como proxy para chegar a outros servidores comprometidos.

Dada a súa pequena base de código (só 24 KB) e a súa eficiencia, ESET afirma que a sofisticación de Kobalos "raramente se ve no malware de Linux".

Fuente: https://www.welivesecurity.com


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.