Linux、BSD、SolarisでSSH認証情報を盗むマルウェアKobalos

Darkcrizt

4分

最近公開されたレポートでは、 「ESET」セキュリティ研究者がマルウェアを分析 これは主に、高性能コンピューター(HPC)、大学、および研究ネットワークサーバーを対象としていました。

リバースエンジニアリングを使用して、 新しいバックドアが世界中のスーパーコンピューターをターゲットにしていることを発見、OpenSSHソフトウェアの感染バージョンを使用して、安全なネットワーク接続の資格情報を盗むことがよくあります。

「Linux、BSD、Solarisなどの多くのオペレーティングシステムに移植可能な、この小さいながらも複雑なマルウェアをリバースエンジニアリングしました。

スキャン中に発見されたいくつかのアーティファクトは、AIXおよびWindowsオペレーティングシステムにもバリエーションがある可能性があることを示しています。

このマルウェアは、コードのサイズが小さく、トリックが多いため、コバロスと呼ばれています」、 

「私たちは、CERNのコンピューターセキュリティチームや、科学研究ネットワークへの攻撃との戦いに関与している他の組織と協力してきました。 彼らによると、Kobalosマルウェアの使用は革新的です」

OpenSSH(OpenBSD Secure Shell)は、SSHプロトコルを使用してコンピューターネットワーク上で安全な通信を可能にする無料のコンピューターツールのセットです。 すべてのトラフィックを暗号化して、接続の乗っ取りやその他の攻撃を排除します。 さらに、OpenSSHは、さまざまな認証方法と高度な構成オプションを提供します。

コバロスについて

そのレポートの著者によると、 KobalosはHPCだけを対象としているわけではありません。 侵害されたシステムの多くは 学界と研究におけるスーパーコンピューターとサーバー、 アジアのインターネットプロバイダー、北米のセキュリティサービスプロバイダー、および一部のパーソナルサーバーもこの脅威によって危険にさらされました。

Kobalosは一般的なバックドアです。 ハッカーの意図を明らかにしないコマンドが含まれているため、さらに ファイルシステムへのリモートアクセスを許可し、ターミナルセッションを開く機能を提供し、プロキシ接続を許可します Kobalosに感染した他のサーバーに。

Kobalosの設計は複雑ですが、その機能は制限されています ほぼ完全に、裏口からの隠されたアクセスに関連しています。

マルウェアは完全に展開されると、侵入先のシステムのファイルシステムへのアクセスを許可し、攻撃者が任意のコマンドを実行できるようにするリモート端末へのアクセスを許可します。

動作モード

ある意味で、 マルウェアは、TCPポートを開くパッシブインプラントとして機能します 感染したマシンで、ハッカーからの着信接続を待っています。 別のモードでは、マルウェアがターゲットサーバーをコマンドアンドコントロール(CoC)サーバーに変えて、他のKobalosに感染したデバイスが接続できるようにします。 感染したマシンは、マルウェアに感染した他のサーバーに接続するプロキシとしても使用できます。

興味深い機能 このマルウェアを区別するのは、 コードは単一の関数にパックされており、正当なOpenSSHコードからの呼び出しはXNUMX回だけです。。 ただし、制御の非線形フローがあり、この関数を再帰的に呼び出してサブタスクを実行します。

研究者は、リモートクライアントにはKobalosに接続するためのXNUMXつのオプションがあることを発見しました。

  1. TCPポートを開き、着信接続を待機します(「パッシブバックドア」と呼ばれることもあります)。
  2. サーバーとして機能するように構成された別のKobalosインスタンスに接続します。
  3. すでに実行されているが、特定の送信元TCPポート(OpenSSHサーバー感染が実行されている)からの正当なサービスへの接続を期待します。

しかし ハッカーが感染したマシンに到達する方法はいくつかあります コバロスと、方法 最もよく使用されるのは、マルウェアがサーバーの実行可能ファイルに埋め込まれている場合です。 OpenSSHは、接続が特定のTCP送信元ポートからのものである場合、バックドアコードをアクティブにします。

マルウェアはまた、ハッカーとの間のトラフィックを暗号化します。これを行うには、ハッカーはRSA-512キーとパスワードで認証する必要があります。 キーは、RC16暗号化を使用して通信を暗号化する4つのXNUMXバイトキーを生成および暗号化します。

また、バックドアは通信を別のポートに切り替え、他の侵害されたサーバーに到達するためのプロキシとして機能することができます。

コードベースが小さく(わずか24 KB)、効率が高いことを考えると、ESETは、Kobalosの高度化は「Linuxマルウェアではめったに見られない」と主張しています。

出典 https://www.welivesecurity.com


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。