最近公開されたレポートでは、 「ESET」セキュリティ研究者がマルウェアを分析 これは主に、高性能コンピューター(HPC)、大学、および研究ネットワークサーバーを対象としていました。
リバースエンジニアリングを使用して、 新しいバックドアが世界中のスーパーコンピューターをターゲットにしていることを発見、OpenSSHソフトウェアの感染バージョンを使用して、安全なネットワーク接続の資格情報を盗むことがよくあります。
「Linux、BSD、Solarisなどの多くのオペレーティングシステムに移植可能な、この小さいながらも複雑なマルウェアをリバースエンジニアリングしました。
スキャン中に発見されたいくつかのアーティファクトは、AIXおよびWindowsオペレーティングシステムにもバリエーションがある可能性があることを示しています。
このマルウェアは、コードのサイズが小さく、トリックが多いため、コバロスと呼ばれています」、
「私たちは、CERNのコンピューターセキュリティチームや、科学研究ネットワークへの攻撃との戦いに関与している他の組織と協力してきました。 彼らによると、Kobalosマルウェアの使用は革新的です」
OpenSSH(OpenBSD Secure Shell)は、SSHプロトコルを使用してコンピューターネットワーク上で安全な通信を可能にする無料のコンピューターツールのセットです。 すべてのトラフィックを暗号化して、接続の乗っ取りやその他の攻撃を排除します。 さらに、OpenSSHは、さまざまな認証方法と高度な構成オプションを提供します。
コバロスについて
そのレポートの著者によると、 KobalosはHPCだけを対象としているわけではありません。 侵害されたシステムの多くは 学界と研究におけるスーパーコンピューターとサーバー、 アジアのインターネットプロバイダー、北米のセキュリティサービスプロバイダー、および一部のパーソナルサーバーもこの脅威によって危険にさらされました。
Kobalosは一般的なバックドアです。 ハッカーの意図を明らかにしないコマンドが含まれているため、さらに ファイルシステムへのリモートアクセスを許可し、ターミナルセッションを開く機能を提供し、プロキシ接続を許可します Kobalosに感染した他のサーバーに。
Kobalosの設計は複雑ですが、その機能は制限されています ほぼ完全に、裏口からの隠されたアクセスに関連しています。
マルウェアは完全に展開されると、侵入先のシステムのファイルシステムへのアクセスを許可し、攻撃者が任意のコマンドを実行できるようにするリモート端末へのアクセスを許可します。
動作モード
ある意味で、 マルウェアは、TCPポートを開くパッシブインプラントとして機能します 感染したマシンで、ハッカーからの着信接続を待っています。 別のモードでは、マルウェアがターゲットサーバーをコマンドアンドコントロール(CoC)サーバーに変えて、他のKobalosに感染したデバイスが接続できるようにします。 感染したマシンは、マルウェアに感染した他のサーバーに接続するプロキシとしても使用できます。
興味深い機能 このマルウェアを区別するのは、 コードは単一の関数にパックされており、正当なOpenSSHコードからの呼び出しはXNUMX回だけです。。 ただし、制御の非線形フローがあり、この関数を再帰的に呼び出してサブタスクを実行します。
研究者は、リモートクライアントにはKobalosに接続するためのXNUMXつのオプションがあることを発見しました。
- TCPポートを開き、着信接続を待機します(「パッシブバックドア」と呼ばれることもあります)。
- サーバーとして機能するように構成された別のKobalosインスタンスに接続します。
- すでに実行されているが、特定の送信元TCPポート(OpenSSHサーバー感染が実行されている)からの正当なサービスへの接続を期待します。
しかし ハッカーが感染したマシンに到達する方法はいくつかあります コバロスと、方法 最もよく使用されるのは、マルウェアがサーバーの実行可能ファイルに埋め込まれている場合です。 OpenSSHは、接続が特定のTCP送信元ポートからのものである場合、バックドアコードをアクティブにします。
マルウェアはまた、ハッカーとの間のトラフィックを暗号化します。これを行うには、ハッカーはRSA-512キーとパスワードで認証する必要があります。 キーは、RC16暗号化を使用して通信を暗号化する4つのXNUMXバイトキーを生成および暗号化します。
また、バックドアは通信を別のポートに切り替え、他の侵害されたサーバーに到達するためのプロキシとして機能することができます。
コードベースが小さく(わずか24 KB)、効率が高いことを考えると、ESETは、Kobalosの高度化は「Linuxマルウェアではめったに見られない」と主張しています。
出典 https://www.welivesecurity.com