U nedavno objavljenom izvješću, Istraživači sigurnosti "ESET" analizirali su zlonamjerni softver Prvenstveno je bio usmjeren na računala visokih performansi (HPC), sveučilišne i istraživačke mrežne poslužitelje.
Koristeći obrnuti inženjering, otkrio da nova pozadinska vrata ciljaju superračunala širom svijeta, često krađu vjerodajnica za sigurne mrežne veze pomoću zaražene verzije softvera OpenSSH.
„Preusmjerili smo ovaj mali, ali složeni zlonamjerni softver koji je prenosiv na mnoge operativne sustave, uključujući Linux, BSD i Solaris.
Neki artefakti otkriveni tijekom skeniranja ukazuju da mogu postojati i varijacije za AIX i Windows operativne sustave.
Zovemo ovaj malware Kobalos zbog male veličine koda i brojnih trikova ”,
„Surađivali smo s CERN-ovim timom za računalnu sigurnost i drugim organizacijama uključenim u borbu protiv napada na mreže znanstvenih istraživanja. Prema njihovim riječima, upotreba zlonamjernog softvera Kobalos je inovativna "
OpenSSH (OpenBSD Secure Shell) skup je besplatnih računalnih alata koji omogućuju sigurnu komunikaciju na računalnoj mreži pomoću SSH protokola. Šifrira sav promet za uklanjanje otmice veze i drugih napada. Uz to, OpenSSH nudi razne metode provjere autentičnosti i sofisticirane opcije konfiguracije.
O Kobalosu
Prema autorima tog izvješća, Kobalos nije isključivo usmjeren na HPC. Iako su mnogi kompromitirani sustavi bili superračunala i poslužitelji u akademskoj zajednici i istraživanjima, internetska usluga u Aziji, pružatelj sigurnosnih usluga u Sjevernoj Americi, kao i neki osobni poslužitelji također su ugroženi ovom prijetnjom.
Kobalos je generički backdoor, jer sadrži naredbe koje osim toga ne otkrivaju namjeru hakera omogućuje daljinski pristup datotečnom sustavu, nudi mogućnost otvaranja terminalskih sesija i omogućuje proxy veze na druge poslužitelje zaražene Kobalosom.
Iako je dizajn Kobalosa složen, njegova je funkcionalnost ograničena i gotovo u cijelosti povezan sa skrivenim pristupom kroz stražnja vrata.
Jednom kada se u potpunosti instalira, zlonamjerni softver omogućuje pristup datotečnom sustavu ugroženog sustava i omogućuje pristup udaljenom terminalu koji napadačima daje mogućnost izvršavanja proizvoljnih naredbi.
Način rada
Na neki način, zlonamjerni softver djeluje kao pasivni implantat koji otvara TCP priključak na zaraženom računalu i čeka dolaznu vezu od hakera. Drugi način omogućuje zlonamjernom softveru pretvaranje ciljnih poslužitelja u zapovjedne i kontrolne (CoC) poslužitelje na koje se povezuju drugi uređaji zaraženi Kobalosom. Zaraženi strojevi također se mogu koristiti kao proxyji koji se povezuju s drugim poslužiteljima koje ugrožava zlonamjerni softver.
Zanimljiva karakteristika Ono što razlikuje ovaj zlonamjerni softver je taj vaš je kôd spakiran u jednu funkciju i primite samo jedan poziv iz legitimnog OpenSSH koda. Međutim, ima nelinearni tok kontrole, koji rekurzivno poziva ovu funkciju za izvršavanje podzadataka.
Istraživači su otkrili da udaljeni klijenti imaju tri mogućnosti povezivanja s Kobalosom:
- Otvaranje TCP porta i čekanje dolazne veze (ponekad se naziva "pasivna stražnja vrata").
- Povežite se s drugom instancom Kobalosa konfiguriranom da djeluje kao poslužitelj.
- Očekujte veze s legitimnom uslugom koja je već pokrenuta, ali dolazi s određenog izvornog TCP porta (zaraza s pokrenutog OpenSSH poslužitelja).
Iako postoji nekoliko načina na koji hakeri mogu doći do zaraženog stroja s Kobalosom, metoda najčešće se koristi kada je zlonamjerni softver ugrađen u izvršnu datoteku poslužitelja OpenSSH i aktivira stražnji kôd ako je veza s određenog TCP izvornog porta.
Zlonamjerni softver također šifrira promet prema i od hakera, da bi to učinili, hakeri se moraju ovjeriti RSA-512 ključem i lozinkom. Ključ generira i šifrira dva 16-bajtna ključa koji šifriraju komunikaciju pomoću RC4 enkripcije.
Također, stražnja vrata mogu prebaciti komunikaciju na drugi port i djelovati kao proxy za dosezanje drugih ugroženih poslužitelja.
S obzirom na malu bazu koda (samo 24 KB) i učinkovitost, ESET tvrdi da se sofisticiranost Kobalosa "rijetko može vidjeti u Linux malwareu".
izvor: https://www.welivesecurity.com