Kobalos, Linux, BSD 및 Solaris에서 SSH 자격 증명을 훔치는 맬웨어

최근에 게시 된 보고서에서 "ESET"보안 연구원이 악성 코드를 분석했습니다. 주로 고성능 컴퓨터 (HPC), 대학 및 연구 네트워크 서버를 대상으로했습니다.

리버스 엔지니어링을 사용하여 새로운 백도어가 전 세계 슈퍼 컴퓨터를 표적으로한다는 것을 발견했습니다., 감염된 버전의 OpenSSH 소프트웨어를 사용하여 보안 네트워크 연결을위한 자격 증명을 훔치는 경우가 많습니다.

“우리는이 작지만 복잡한 악성 코드를 리버스 엔지니어링했습니다.이 악성 코드는 Linux, BSD 및 Solaris를 포함한 많은 운영 체제로 이식 할 수 있습니다.

스캔 중에 발견 된 일부 아티팩트는 AIX 및 Windows 운영 체제에도 변형이있을 수 있음을 나타냅니다.

코드 크기가 작고 트릭이 많기 때문에이 악성 코드를 Kobalos라고합니다.”, 

“우리는 CERN의 컴퓨터 보안 팀 및 과학 연구 네트워크에 대한 공격에 맞서 싸우는 다른 조직과 협력했습니다. 그들에 따르면 Kobalos 맬웨어의 사용은 혁신적입니다. "

OpenSSH (OpenBSD Secure Shell)는 SSH 프로토콜을 사용하여 컴퓨터 네트워크에서 보안 통신을 허용하는 무료 컴퓨터 도구 세트입니다. 모든 트래픽을 암호화하여 연결 하이재킹 및 기타 공격을 제거합니다. 또한 OpenSSH는 다양한 인증 방법과 정교한 구성 옵션을 제공합니다.

Kobalos 정보

그 보고서의 저자에 따르면 Kobalos는 HPC만을 대상으로하는 것이 아닙니다. 손상된 시스템 중 상당수가 학계 및 연구 분야의 슈퍼 컴퓨터와 서버, 아시아의 인터넷 제공 업체, 북미의 보안 서비스 제공 업체 및 일부 개인 서버도이 위협에 의해 손상되었습니다.

Kobalos는 일반적인 백도어입니다. 해커의 의도를 드러내지 않는 명령이 포함되어 있습니다. 파일 시스템에 대한 원격 액세스를 허용하고 터미널 세션을 여는 기능을 제공하며 프록시 연결을 허용합니다. Kobalos에 감염된 다른 서버에.

Kobalos 디자인은 복잡하지만 기능이 제한됩니다. 거의 전적으로 뒷문을 통한 숨겨진 접근과 관련이 있습니다.

완전히 배포되면 악성 코드는 손상된 시스템의 파일 시스템에 대한 액세스 권한을 부여하고 공격자에게 임의의 명령을 실행할 수있는 기능을 제공하는 원격 터미널에 대한 액세스를 허용합니다.

작동 모드

어떤 의미에서 멀웨어는 TCP 포트를 여는 패시브 임플란트 역할을합니다. 감염된 시스템에서 해커로부터 들어오는 연결을 기다리고 있습니다. 또 다른 모드에서는 악성 코드가 대상 서버를 다른 Kobalos에 감염된 장치가 연결되는 명령 및 제어 (CoC) 서버로 전환 할 수 있습니다. 감염된 컴퓨터는 맬웨어에 의해 손상된 다른 서버에 연결하는 프록시로도 사용될 수 있습니다.

흥미로운 기능 이 멀웨어를 구별하는 것은 코드는 단일 함수로 압축되며 합법적 인 OpenSSH 코드에서 한 번만 호출됩니다.. 그러나 비선형적인 제어 흐름을 가지고 있으며 하위 작업을 수행하기 위해이 함수를 재귀 적으로 호출합니다.

연구원들은 원격 클라이언트가 Kobalos에 연결하기위한 세 가지 옵션이 있음을 발견했습니다.

  1. TCP 포트를 열고 들어오는 연결을 기다립니다 ( "수동 백도어"라고도 함).
  2. 서버 역할을하도록 구성된 다른 Kobalos 인스턴스에 연결합니다.
  3. 이미 실행 중이지만 특정 소스 TCP 포트 (실행중인 OpenSSH 서버의 감염)에서 오는 합법적 인 서비스에 대한 연결을 예상합니다.

이기는하지만 해커가 감염된 시스템에 접근 할 수있는 방법에는 여러 가지가 있습니다. Kobalos와 함께 가장 많이 사용되는 것은 악성 코드가 서버 실행 파일에 포함되었을 때입니다. OpenSSH를 사용하고 특정 TCP 소스 포트에서 연결되는 경우 백도어 코드를 활성화합니다.

맬웨어는 또한 해커와의 트래픽을 암호화하므로 해커는 RSA-512 키와 암호로 인증해야합니다. 이 키는 RC16 암호화를 사용하여 통신을 암호화하는 두 개의 4 바이트 키를 생성하고 암호화합니다.

또한 백도어는 통신을 다른 포트로 전환하고 다른 손상된 서버에 도달하는 프록시 역할을 할 수 있습니다.

작은 코드베이스 (24KB에 불과)와 효율성을 고려할 때 ESET은 Kobalos의 정교함이 "Linux 맬웨어에서 거의 볼 수 없습니다"라고 주장합니다.

출처 : https://www.welivesecurity.com


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.