Kobalos, תוכנה זדונית שגונבת אישורי SSH ב- Linux, BSD ו- Solaris

Darkcrizt

4 דקות

בדו"ח שפורסם לאחרונה, חוקרי האבטחה של "ESET" ניתחו תוכנה זדונית זה היה מכוון בעיקר למחשבים בעלי ביצועים גבוהים (HPC), לאוניברסיטאות ולשרתי רשת מחקר.

באמצעות הנדסה לאחור, גילה שדלת אחורית חדשה מכוונת למחשבי-על ברחבי העולם, לעתים קרובות גונב אישורי חיבורי רשת מאובטחים באמצעות גרסה נגועה של תוכנת OpenSSH.

"ביצענו הנדסה לאחור את התוכנה הזדונית הקטנה אך המורכבת, הניידת למערכות הפעלה רבות, כולל לינוקס, BSD וסולאריס.

כמה חפצים שהתגלו במהלך הסריקה מצביעים על כך שקיימות וריאציות גם עבור מערכות ההפעלה AIX ו- Windows.

אנו קוראים לתוכנה זדונית זו קובאלוס בגלל גודל הקוד הקטן שלה והטריקים הרבים שלה ", 

"עבדנו עם צוות אבטחת המחשבים של CERN ועם ארגונים אחרים המעורבים במאבק נגד התקפות על רשתות מחקר מדעיות. לדבריהם, השימוש בתוכנות זדוניות של Kobalos הוא חדשני "

OpenSSH (OpenBSD Secure Shell) הוא קבוצה של כלי מחשב בחינם המאפשרים תקשורת מאובטחת ברשת מחשבים באמצעות פרוטוקול SSH. מצפין את כל התעבורה כדי למנוע חטיפת חיבורים והתקפות אחרות. בנוסף, OpenSSH מספק שיטות אימות שונות ואפשרויות תצורה מתוחכמות.

על קובאלוס

לדברי מחברי הדו"ח, קובאלוס אינה מכוונת באופן בלעדי ל- HPC. למרות שרבים מהמערכות שנפגעו היו מחשבי-על ושרתים באקדמיה ובמחקר, ספק אינטרנט באסיה, ספק שירותי אבטחה בצפון אמריקה, כמו גם כמה שרתים אישיים נפגעו בגלל איום זה.

קובאלוס הוא דלת אחורית כללית, מכיוון שהוא מכיל פקודות שאינן חושפות את כוונת ההאקרים, בנוסף ל מאפשר גישה מרחוק למערכת הקבצים, מציע אפשרות לפתוח הפעלות מסוף ומאפשר חיבורי proxy לשרתים אחרים הנגועים בקובאלוס.

למרות שעיצוב קובאלוס מורכב, הפונקציונליות שלו מוגבלת וכמעט לגמרי קשורה לגישה מוסתרת דרך דלת אחורית.

לאחר פריסתו המלאה, התוכנה הזדונית מעניקה גישה למערכת קבצי המערכת שנפרצה ומאפשרת גישה למסוף מרוחק המעניק לתוקפים את היכולת לבצע פקודות שרירותיות.

מצב הפעלה

בדרך, התוכנה הזדונית פועלת כשתל פסיבי הפותח יציאת TCP במכונה נגועה ומחכה לחיבור נכנס מהאקר. מצב אחר מאפשר לתוכנה זדונית להפוך שרתי יעד לשרתי פיקוד ובקרה (CoC) אליהם מתחברים מכשירים אחרים הנגועים בקובאלוס. המכונות הנגועות יכולות לשמש גם כ- proxies המתחברים לשרתים אחרים שנפגעו מתוכנות זדוניות.

תכונה מעניינת מה שמייחד את התוכנה הזדונית זה הקוד שלך ארוז בפונקציה אחת ואתה מקבל שיחה אחת בלבד מקוד OpenSSH הלגיטימי. עם זאת, יש לו זרימה לא ליניארית של שליטה, וקוראת ברקורסיביות לפונקציה זו לבצע משימות משנה.

החוקרים מצאו שללקוחות מרוחקים יש שלוש אפשרויות להתחברות לקובאלוס:

  1. פתח יציאת TCP והמתין לחיבור נכנס (המכונה לפעמים "דלת אחורית פסיבית").
  2. התחבר למופע אחר של Kobalos שהוגדר לשמש כשרת.
  3. צפו לחיבורים לשירות לגיטימי שכבר פועל, אך מגיע מיציאת TCP מקורית ספציפית (זיהום בשרת OpenSSH פועל).

למרות ישנן מספר דרכים בהאקרים יכולים להגיע למכונה נגועה עם קובאלוס, השיטה הנפוץ ביותר הוא כאשר התוכנה הזדונית מוטמעת בהפעלה של השרת OpenSSH ומפעיל את הקוד לדלת האחורית אם החיבור הוא מיציאת מקור TCP ספציפית.

תוכנות זדוניות מצפינות גם תעבורה מההאקרים וממנה. לשם כך, האקרים חייבים לבצע אימות באמצעות מפתח וסיסמה RSA-512. המפתח מייצר ומצפין שני מפתחות של 16 בתים שמצפינים את התקשורת באמצעות הצפנת RC4.

כמו כן, הדלת האחורית יכולה להחליף תקשורת ליציאה אחרת ולפעול כ- proxy כדי להגיע לשרתים אחרים שנפגעו.

בהתחשב בבסיס הקוד הקטן שלו (24 KB בלבד) ויעילותו, ESET טוענת כי התחכום של קובאלוס "נראה לעיתים רחוקות בתוכנות זדוניות של לינוקס".

מקור: https://www.welivesecurity.com


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.