Egy nemrégiben közzétett jelentésben Az "ESET" biztonsági kutatói elemeztek egy rosszindulatú programot Elsősorban nagy teljesítményű számítógépekre (HPC), egyetemi és kutatási hálózati szerverekre irányult.
A fordított tervezés segítségével felfedezte, hogy egy új hátsó ajtó szuperszámítógépeket céloz meg szerte a világon, gyakran hitelesítő adatokat lopnak a biztonságos hálózati kapcsolatokhoz az OpenSSH szoftver fertőzött verziójával.
„Visszaállítottuk ezt a kicsi, de összetett rosszindulatú programot, amelyet számos operációs rendszer hordozhat, beleértve a Linuxot, a BSD-t és a Solaris-t is.
A vizsgálat során felfedezett egyes műtermékek azt jelzik, hogy az AIX és a Windows operációs rendszereken is lehetnek változatok.
Kobalosnak nevezzük ezt a rosszindulatú programot a kód kis mérete és a sok trükk miatt ”,
„Együtt dolgoztunk a CERN számítógépes biztonsági csapatával és más szervezetekkel, amelyek részt vesznek a tudományos kutatási hálózatok elleni támadások elleni küzdelemben. Szerintük a Kobalos malware használata innovatív "
Az OpenSSH (OpenBSD Secure Shell) egy ingyenes számítógépes eszközkészlet, amely biztonságos kommunikációt tesz lehetővé az SSH protokoll használatával a számítógépes hálózaton. Titkosítja az összes forgalmat a kapcsolatteremtés és más támadások kiküszöbölése érdekében. Ezenkívül az OpenSSH különféle hitelesítési módszereket és kifinomult konfigurációs lehetőségeket biztosít.
Kobalosról
A jelentés készítői szerint A Kobalos nem kizárólag a HPC-ket célozza meg. Bár a veszélyeztetett rendszerek közül sokan voltak szuperszámítógépek és szerverek az egyetemen és a kutatásban, egy ázsiai internetszolgáltatót, egy észak-amerikai biztonsági szolgáltatót, valamint néhány személyes szervert is veszélyeztetett ez a fenyegetés.
A Kobalos egy általános hátsó ajtó, mivel olyan parancsokat tartalmaz, amelyek emellett nem fedik fel a hackerek szándékát lehetővé teszi a távoli hozzáférést a fájlrendszerhez, lehetőséget kínál a terminál munkamenetek megnyitására, és lehetővé teszi a proxy kapcsolatokat a Kobalos által fertőzött más szerverekre.
Bár a Kobalos kialakítása összetett, funkcionalitása korlátozott és szinte teljes egészében a hátsó ajtón keresztül rejtett hozzáféréssel kapcsolatos.
A rosszindulatú program a teljes telepítést követően hozzáférést biztosít a sérült rendszer fájlrendszeréhez, és hozzáférést biztosít egy távoli terminálhoz, amely lehetőséget ad a támadóknak tetszőleges parancsok végrehajtására.
Üzemmód
Oly módon, a rosszindulatú program passzív implantátumként működik, amely megnyitja a TCP portot fertőzött gépen, és egy hackertől érkező kapcsolatra vár. Egy másik mód lehetővé teszi a rosszindulatú programok számára, hogy a célszervereket parancs- és vezérlő (CoC) szerverekké alakítsák, amelyekhez más Kobalos-fertőzött eszközök csatlakoznak. A fertőzött gépeket proxyként is használhatjuk, más rosszindulatú programok által veszélyeztetett szerverekhez csatlakozva.
Érdekes tulajdonság Ami megkülönbözteti ezt a rosszindulatú programot, az az kódod egyetlen funkcióba van csomagolva, és csak egy hívást kapsz a legitim OpenSSH kódból. Ennek azonban nem lineáris vezérlési folyamata van, rekurzív módon ezt a függvényt részfeladatok végrehajtására hívja fel.
A kutatók megállapították, hogy a távoli ügyfeleknek három lehetőségük van a Kobalos-hoz való csatlakozásra:
- Nyissa meg a TCP portot, és várja meg a bejövő kapcsolatot (néha "passzív hátsó ajtónak" hívják).
- Csatlakozzon egy másik Kobalos-példányhoz, amely szerverként működik.
- Számítson egy olyan kapcsolatra, amely már működik, de egy adott forrás TCP portról származik (a futó OpenSSH kiszolgáló fertőzése).
Bár a hackerek számos módon elérhetik a fertőzött gépet Kobalossal a módszer A legtöbbet akkor használják, amikor a kártevő beágyazódik a szerver futtatható fájljába OpenSSH és aktiválja a hátsó ajtó kódját, ha a kapcsolat egy adott TCP forrásportból származik.
A rosszindulatú programok titkosítják a hackerek felé irányuló és onnan érkező forgalmat is. Ehhez a hackereknek RSA-512 kulccsal és jelszóval kell hitelesíteniük magukat. A kulcs két 16 bájtos kulcsot generál és titkosít, amelyek RC4 titkosítással titkosítják a kommunikációt.
Ezenkívül a hátsó ajtó átkapcsolhatja a kommunikációt egy másik portra, és proxyként működhet más veszélyeztetett szerverek eléréséhez.
Tekintettel kis kódbázisára (csak 24 KB) és hatékonyságára, az ESET azt állítja, hogy a Kobalos kifinomultsága "ritkán tapasztalható a Linux kártevő programjaiban".
forrás: https://www.welivesecurity.com