हाल ही में प्रकाशित एक रिपोर्ट में ESET सुरक्षा शोधकर्ताओं ने मैलवेयर का विश्लेषण किया यह मुख्य रूप से विश्वविद्यालयों और अनुसंधान नेटवर्क सर्वरों से उच्च प्रदर्शन कंप्यूटर (एचपीसी) पर लक्षित था।
रिवर्स इंजीनियरिंग का उपयोग करते हुए, पता चला कि एक नया बैकडोर दुनिया भर के सुपर कंप्यूटरों को निशाना बनाता है, अक्सर ओपनएसएसएच सॉफ़्टवेयर के संक्रमित संस्करण का उपयोग करके सुरक्षित नेटवर्क कनेक्शन के लिए क्रेडेंशियल चुराते हैं।
“हमने इस छोटे, लेकिन जटिल मैलवेयर को रिवर्स-इंजीनियर किया, जो लिनक्स, बीएसडी और सोलारिस सहित कई ऑपरेटिंग सिस्टम के लिए पोर्टेबल है।
स्कैन के दौरान खोजी गई कुछ कलाकृतियाँ संकेत देती हैं कि AIX और Windows ऑपरेटिंग सिस्टम के लिए भी भिन्नताएँ हो सकती हैं।
हम इस मैलवेयर को इसके छोटे कोड आकार और कई युक्तियों के कारण कोबालोस कहते हैं”,
“हमने वैज्ञानिक अनुसंधान नेटवर्क पर हमलों के खिलाफ लड़ाई में शामिल सर्न कंप्यूटर सुरक्षा टीम और अन्य संगठनों के साथ काम किया है। उनके अनुसार, कोबालोस मैलवेयर का उपयोग अभिनव है”
ओपनएसएसएच (ओपनबीएसडी सिक्योर शेल) मुफ्त कंप्यूटर टूल का एक सेट है जो एसएसएच प्रोटोकॉल का उपयोग करके कंप्यूटर नेटवर्क पर सुरक्षित संचार सक्षम करता है। कनेक्शन अपहरण और अन्य हमलों को खत्म करने के लिए सभी ट्रैफ़िक को एन्क्रिप्ट करता है। इसके अलावा, ओपनएसएसएच कई प्रमाणीकरण विधियां और परिष्कृत कॉन्फ़िगरेशन विकल्प प्रदान करता है।
कोबालोस के बारे में
उस रिपोर्ट के लेखकों के अनुसार, कोबालोस का लक्ष्य विशेष रूप से एचपीसी नहीं है। हालाँकि कई समझौता प्रणालियाँ थीं शिक्षा और अनुसंधान में सुपर कंप्यूटर और सर्वर, एशिया में एक इंटरनेट प्रदाता, उत्तरी अमेरिका में एक सुरक्षा सेवा प्रदाता, साथ ही कुछ व्यक्तिगत सर्वर भी इस खतरे से प्रभावित हुए थे।
कोबालोस एक सामान्य पिछला दरवाजा है, चूँकि इसमें ऐसे कमांड हैं जो हैकर्स के इरादे को प्रकट नहीं करते हैं, साथ ही यह भी फ़ाइल सिस्टम तक दूरस्थ पहुंच की अनुमति देता है, टर्मिनल सत्र खोलने की क्षमता प्रदान करता है, और प्रॉक्सी कनेक्शन की अनुमति देता है कोबालोस से संक्रमित अन्य सर्वरों के लिए।
हालाँकि कोबालोस का डिज़ाइन जटिल है, इसकी कार्यक्षमता सीमित है। और लगभग पूरी तरह से पिछले दरवाजे से छिपी पहुंच से संबंधित है।
एक बार पूरी तरह से तैनात होने के बाद, मैलवेयर समझौता किए गए सिस्टम की फ़ाइल प्रणाली तक पहुंच प्रदान करता है और एक दूरस्थ टर्मिनल तक पहुंच की अनुमति देता है जो हमलावरों को मनमाने आदेशों को निष्पादित करने की क्षमता देता है।
ऑपरेटिंग मोड
एक तरह से, मैलवेयर एक निष्क्रिय प्रत्यारोपण के रूप में कार्य करता है जो टीसीपी पोर्ट खोलता है एक संक्रमित मशीन पर और हैकर से आने वाले कनेक्शन की प्रतीक्षा करता है। एक अन्य मोड मैलवेयर को लक्ष्य सर्वर को कमांड और कंट्रोल (सीओसी) सर्वर में बदलने की अनुमति देता है जिससे अन्य कोबालो-संक्रमित डिवाइस कनेक्ट होते हैं। संक्रमित मशीनों का उपयोग मैलवेयर से प्रभावित अन्य सर्वरों से जुड़ने वाले प्रॉक्सी के रूप में भी किया जा सकता है।
एक दिलचस्प विशेषता इस मैलवेयर को जो अलग करता है वह है आपका कोड एक ही फ़ंक्शन में पैक किया गया है और केवल वैध ओपनएसएसएच कोड से कॉल प्राप्त होता है. हालाँकि, इसमें नियंत्रण का एक गैर-रेखीय प्रवाह है, जो इस फ़ंक्शन को उप-कार्य करने के लिए पुनरावर्ती रूप से कॉल करता है।
शोधकर्ताओं ने पाया कि दूरस्थ ग्राहकों के पास कोबालोस से जुड़ने के लिए तीन विकल्प हैं:
- एक टीसीपी पोर्ट खोलें और आने वाले कनेक्शन की प्रतीक्षा करें (कभी-कभी इसे "निष्क्रिय बैकडोर" भी कहा जाता है)।
- सर्वर के रूप में कार्य करने के लिए कॉन्फ़िगर किए गए कोबालोस के किसी अन्य उदाहरण से कनेक्ट करें।
- किसी वैध सेवा से कनेक्शन की प्रतीक्षा की जा रही है जो पहले से ही चल रही है, लेकिन एक विशिष्ट स्रोत टीसीपी पोर्ट (ओपनएसएसएच सर्वर संक्रमण चल रहा है) से आ रही है।
हालांकि ऐसे कई तरीके हैं जिनसे हैकर्स किसी संक्रमित मशीन तक पहुंच सकते हैं कोबालोस के साथ, विधि सबसे अधिक उपयोग तब होता है जब मैलवेयर सर्वर निष्पादन योग्य में एम्बेडेड होता है यदि कनेक्शन किसी विशिष्ट टीसीपी स्रोत पोर्ट से है तो ओपनएसएसएच खोलें और बैकडोर कोड सक्रिय करें।
मैलवेयर हैकर्स के आने-जाने वाले ट्रैफ़िक को भी एन्क्रिप्ट करता है, ऐसा करने के लिए हैकर्स को RSA-512 कुंजी और पासवर्ड से प्रमाणित करना होगा। कुंजी दो 16-बाइट कुंजी उत्पन्न और एन्क्रिप्ट करती है जो RC4 एन्क्रिप्शन का उपयोग करके संचार को एन्क्रिप्ट करती है।
इसके अलावा, पिछला दरवाजा संचार को दूसरे पोर्ट पर स्विच कर सकता है और अन्य समझौता किए गए सर्वर तक पहुंचने के लिए प्रॉक्सी के रूप में कार्य कर सकता है।
इसके छोटे कोडबेस (केवल 24KB) और इसकी दक्षता को देखते हुए, ESET का दावा है कि कोबालोस का परिष्कार "लिनक्स मैलवेयर में शायद ही कभी देखा जाता है।"
Fuente: https://www.welivesecurity.com