Neseniai paskelbtoje ataskaitoje „ESET“ saugumo tyrėjai išanalizavo kenkėjišką programą Pirmiausia jis buvo skirtas didelio našumo kompiuteriams (HPC), universitetų ir tyrimų tinklo serveriams.
Naudojant atvirkštinę inžineriją, atrado, kad naujas užpakalinis langas nukreiptas į superkompiuterius visame pasaulyje, dažnai pavogdami saugių tinklo ryšių kredencialus naudodami užkrėstą „OpenSSH“ programinės įrangos versiją.
„Mes pakeitėme šią mažą, bet sudėtingą kenkėjišką programą, kurią galima perkelti į daugelį operacinių sistemų, įskaitant„ Linux “, BSD ir„ Solaris “.
Kai kurie patikrinimo metu aptikti artefaktai rodo, kad gali būti ir AIX ir Windows operacinių sistemų variantų.
Mes vadiname šią kenkėjišką programą „Kobalos“ dėl mažo kodo dydžio ir daugybės gudrybių “,
„Mes dirbome su CERN kompiuterių saugos komanda ir kitomis organizacijomis, dalyvaujančiomis kovoje su išpuoliais prieš mokslinių tyrimų tinklus. Jų teigimu, „Kobalos“ kenkėjiškų programų naudojimas yra novatoriškas “
„OpenSSH“ („OpenBSD Secure Shell“) yra nemokamų kompiuterinių įrankių rinkinys, leidžiantis saugiai bendrauti kompiuterių tinkle naudojant SSH protokolą. Šifruoja visą srautą, kad pašalintų ryšio užgrobimą ir kitas atakas. Be to, „OpenSSH“ teikia įvairius autentifikavimo metodus ir sudėtingas konfigūravimo parinktis.
Apie Kobalos
Pasak šios ataskaitos autorių, „Kobalos“ nėra skirtas tik HPC. Nors daugelis pažeistų sistemų buvo superkompiuteriai ir serveriai akademijoje ir tyrimuose, ši grėsmė taip pat pakenkė Azijos interneto tiekėjui, Šiaurės Amerikos saugos paslaugų teikėjui, taip pat kai kuriems asmeniniams serveriams.
„Kobalos“ yra bendras užnugaris, nes jame yra komandų, kurios neatskleidžia įsilaužėlių ketinimų, be to leidžia nuotoliniu būdu pasiekti failų sistemą, suteikia galimybę atidaryti terminalo sesijas ir leidžia prisijungti prie tarpinio serverio į kitus „Kobalos“ užkrėstus serverius.
Nors „Kobalos“ dizainas yra sudėtingas, jo funkcionalumas yra ribotas ir beveik visiškai susijęs su paslėptu patekimu pro užpakalines duris.
Pilnai įdiegta kenkėjiška programa suteikia prieigą prie pažeistos sistemos failų sistemos ir suteikia prieigą prie nuotolinio terminalo, kuris suteikia užpuolikams galimybę atlikti savavališkas komandas.
Darbinis režimas
Kelyje, kenkėjiška programa veikia kaip pasyvus implantas, atveriantis TCP prievadą užkrėstoje mašinoje ir laukia įsilaužėlio gaunamo ryšio. Kitas režimas leidžia kenkėjiškoms programoms tikslinius serverius paversti komandų ir valdymo (CoC) serveriais, prie kurių prisijungia kiti „Kobalos“ užkrėsti įrenginiai. Užkrėstos mašinos taip pat gali būti naudojamos kaip tarpiniai serveriai, jungiantys kitus serverius, kuriuos pažeidžia kenkėjiškos programos.
Įdomi funkcija Ši kenkėjiška programa skiriasi tuo jūsų kodas yra supakuotas į vieną funkciją ir jūs gaunate tik vieną skambutį iš teisėto „OpenSSH“ kodo. Tačiau jis turi netiesinį valdymo srautą, rekursyviai kviečiantis šią funkciją atlikti tarpines užduotis.
Tyrėjai nustatė, kad nuotoliniai klientai turi tris galimybes prisijungti prie „Kobalos“:
- Atidarant TCP prievadą ir laukiant gaunamo ryšio (kartais vadinamas „pasyviu užpakaliniu“).
- Prisijunkite prie kito „Kobalos“ egzemplioriaus, sukonfigūruoto veikti kaip serveris.
- Tikėkitės ryšio su teisėta paslauga, kuri jau veikia, bet gaunama iš konkretaus šaltinio TCP prievado (infekcija iš veikiančio „OpenSSH“ serverio).
Nors įsilaužėliai gali pasiekti užkrėstą mašiną keliais būdais su Kobalos, metodas dažniausiai naudojamas, kai kenkėjiškos programos yra įterptos į serverio vykdomąjį failą „OpenSSH“ ir suaktyvina užpakalinį kodą, jei ryšys yra iš konkretaus TCP šaltinio prievado.
Kenkėjiška programa taip pat užšifruoja srautą iš įsilaužėlių ir iš jų. Norėdami tai padaryti, įsilaužėliai turi autentifikuoti naudodami RSA-512 raktą ir slaptažodį. Raktas sukuria ir užšifruoja du 16 baitų raktus, kurie užšifruoja ryšį naudodami RC4 šifravimą.
Be to, užpakalinė duris gali perjungti ryšį į kitą prievadą ir veikti kaip tarpininkas, kad pasiektų kitus pažeistus serverius.
Atsižvelgdama į nedidelę kodų bazę (tik 24 KB) ir efektyvumą, ESET teigia, kad „Kobalos“ rafinuotumas „retai pastebimas kenkėjiškose„ Linux “programose“.
Fuente: https://www.welivesecurity.com