Nesen publicētajā ziņojumā "ESET" drošības pētnieki analizēja ļaunprātīgu programmatūru Tas galvenokārt bija paredzēts augstas veiktspējas datoriem (HPC), universitāšu un pētniecības tīkla serveriem.
Izmantojot reverso inženieriju, atklāja, ka jauns aizmugurējais durvju mērķis ir superdatori visā pasaulē, bieži zogot akreditācijas datus drošiem tīkla savienojumiem, izmantojot inficētu programmatūras OpenSSH versiju.
“Mēs pārveidojām šo mazo, bet sarežģīto ļaunprātīgo programmatūru, kas ir pārnēsājama daudzās operētājsistēmās, tostarp Linux, BSD un Solaris.
Daži skenēšanas laikā atklātie artefakti norāda, ka var būt arī AIX un Windows operētājsistēmu variācijas.
Mēs šo ļaunprātīgo programmatūru saucam par Kobalos, jo tā kods ir mazs un ir daudz triku ”,
“Mēs esam strādājuši ar CERN datoru drošības komandu un citām organizācijām, kas iesaistītas cīņā pret uzbrukumiem zinātnisko pētījumu tīkliem. Pēc viņu domām, Kobalos ļaunprogrammatūras izmantošana ir novatoriska "
OpenSSH (OpenBSD Secure Shell) ir bezmaksas datoru rīku kopums, kas ļauj droši sazināties datortīklā, izmantojot SSH protokolu. Šifrē visu datplūsmu, lai novērstu savienojuma nolaupīšanu un citus uzbrukumus. Turklāt OpenSSH nodrošina dažādas autentifikācijas metodes un sarežģītas konfigurācijas iespējas.
Par Kobalos
Pēc ziņojuma autoru domām, Kobalos nav vērsts tikai uz HPC. Lai gan daudzas no kompromitētajām sistēmām bija superdatori un serveri akadēmiskajā vidē un pētniecībā, šie draudi apdraudēja arī interneta pakalpojumu sniedzēju Āzijā, drošības pakalpojumu sniedzēju Ziemeļamerikā, kā arī dažus personālos serverus.
Kobalos ir vispārējs aizmugurējais durvis, jo tas satur komandas, kas neatklāj hakeru nolūku, papildus ļauj attāli piekļūt failu sistēmai, piedāvā iespēju atvērt termināla sesijas un ļauj izveidot starpniekservera savienojumus uz citiem serveriem, kas inficēti ar Kobalos.
Lai gan Kobalos dizains ir sarežģīts, tā funkcionalitāte ir ierobežota un gandrīz pilnībā saistīts ar slēptu piekļuvi caur sētas durvīm.
Pēc pilnīgas ieviešanas ļaunprogrammatūra piešķir piekļuvi apdraudētās sistēmas failu sistēmai un ļauj piekļūt attālajam terminālim, kas uzbrucējiem dod iespēju izpildīt patvaļīgas komandas.
Darbības režīms
Savā ziņā ļaunprogrammatūra darbojas kā pasīvs implants, kas atver TCP portu inficētā mašīnā un gaida ienākošo savienojumu no hakera. Cits režīms ļauj ļaunprātīgai programmatūrai mērķa serverus pārvērst par komandu un vadības (CoC) serveriem, pie kuriem savienojas citas ar Kobalos inficētās ierīces. Inficētās mašīnas var izmantot arī kā starpniekus, kas izveido savienojumu ar citiem serveriem, kurus apdraud ļaunprātīga programmatūra.
Interesanta iezīme Atšķir šo ļaunprātīgo programmatūru jūsu kods ir iepakots vienā funkcijā, un jūs saņemat tikai vienu zvanu no likumīgā OpenSSH koda. Tomēr tam ir nelineāra vadības plūsma, rekursīvi izsaucot šo funkciju, lai veiktu apakšuzdevumus.
Pētnieki atklāja, ka attāliem klientiem ir trīs iespējas izveidot savienojumu ar Kobalos:
- Atveriet TCP portu un gaidiet ienākošo savienojumu (dažreiz to sauc par "pasīvo aizmugurējo durvju").
- Izveidojiet savienojumu ar citu Kobalos gadījumu, kas konfigurēts kā serveris.
- Gaidiet savienojumus ar likumīgu pakalpojumu, kas jau darbojas, bet nāk no noteikta avota TCP porta (darbojas OpenSSH servera infekcija).
Kaut gan ir vairāki veidi, kā hakeri var sasniegt inficēto mašīnu ar Kobalos metodi Visbiežāk tiek izmantota, ja ļaunprogrammatūra ir iegulta servera izpildāmajā failā OpenSSH un aktivizē aizmugures durvju kodu, ja savienojums ir no noteikta TCP avota porta.
Ļaunprātīga programmatūra arī šifrē trafiku uz hakeriem un no tiem, lai to izdarītu, hakeriem ir jāidentificējas ar RSA-512 atslēgu un paroli. Atslēga ģenerē un šifrē divus 16 baitu atslēgas, kas šifrē sakarus, izmantojot RC4 šifrēšanu.
Arī aizmugurējā durvis var pārslēgt sakarus uz citu portu un darboties kā starpniekserveris, lai sasniegtu citus apdraudētus serverus.
Ņemot vērā nelielo kodu bāzi (tikai 24 KB) un efektivitāti, ESET apgalvo, ka Kobalos izsmalcinātība "reti tiek novērota Linux ļaunprogrammatūrā".
Fuente: https://www.welivesecurity.com