नुकत्याच प्रकाशित झालेल्या अहवालात, "ईएसईटी" सुरक्षा संशोधकांनी मालवेयरचे विश्लेषण केले प्रामुख्याने त्याचे लक्ष्य उच्च कार्यप्रदर्शन संगणक (एचपीसी), विद्यापीठ आणि संशोधन नेटवर्क सर्व्हर होते.
उलट अभियांत्रिकी वापरुन, शोधले की नवीन बॅकडोर जगभरातील सुपर कॉम्प्यूटरला लक्ष्य करते, सहसा ओपनएसएसएच सॉफ्टवेअरची संक्रमित आवृत्ती वापरुन सुरक्षित नेटवर्क कनेक्शनसाठी क्रेडेंशियल्स चोरत असतात.
“आम्ही हे छोटे, परंतु गुंतागुंतीचे मालवेयर रिव्हर्स केले, जे लिनक्स, बीएसडी आणि सोलारिस यासह अनेक ऑपरेटिंग सिस्टमसाठी पोर्टेबल आहे.
स्कॅन दरम्यान सापडलेल्या काही कलाकृती सूचित करतात की एआयएक्स आणि विंडोज ऑपरेटिंग सिस्टममध्ये देखील भिन्नता असू शकतात.
आम्ही या मालवेयरला कोबालोस म्हणतो कारण त्याच्या कोडचा आकार लहान आहे आणि बर्याच युक्त्या ”,
“आम्ही सीईआरएनच्या संगणक सुरक्षा कार्यसंघासह आणि वैज्ञानिक संशोधन नेटवर्कवरील हल्ल्यांविरूद्धच्या लढाईत सामील असलेल्या इतर संस्थांसोबत काम केले आहे. त्यांच्या मते, कोबालोस मालवेअरचा वापर अभिनव आहे "
ओपनएसएच (ओपनबीएसडी सिक्योर शेल) हे विनामूल्य संगणक साधनांचा एक सेट आहे जो एसएसएच प्रोटोकॉलचा वापर करून संगणक नेटवर्कवर सुरक्षित संप्रेषणास परवानगी देतो. कनेक्शन अपहरण आणि इतर हल्ले दूर करण्यासाठी सर्व रहदारी कूटबद्ध करते. याव्यतिरिक्त, ओपनएसएच विविध प्रमाणीकरण पद्धती आणि अत्याधुनिक संरचना पर्याय पुरवतो.
कोबालोस बद्दल
त्या अहवालाच्या लेखकांच्या म्हणण्यानुसार, कोबालोस केवळ एचपीसींना लक्ष्य करीत नाही. अनेक तडजोड प्रणाली होते तरी सुपर संगणक आणि शैक्षणिक अभ्यास आणि सर्व्हर सर्व्हर, आशियातील इंटरनेट प्रदाता, उत्तर अमेरिकेतील एक सुरक्षा सेवा प्रदाता तसेच काही वैयक्तिक सर्व्हरदेखील या धमकीमुळे तडजोड केली गेली.
कोबालोस एक सामान्य बॅकडोर आहे, कारण त्यामध्ये कमांड आहेत ज्या हॅकर्सचा हेतू, तसेच प्रकट करीत नाहीत फाइल सिस्टममध्ये रिमोट प्रवेशास अनुमती देते, टर्मिनल सत्रे उघडण्याची क्षमता प्रदान करते आणि प्रॉक्सी कनेक्शनची परवानगी देते कोबालोसने संक्रमित इतर सर्व्हरला
कोबालोस डिझाइन जटिल असले तरी त्याची कार्यक्षमता मर्यादित आहे आणि जवळजवळ संपूर्णपणे मागील दाराद्वारे लपलेल्या प्रवेशाशी संबंधित.
एकदा पूर्णपणे तैनात झाल्यानंतर मालवेयर तडजोडीच्या सिस्टमच्या फाइल सिस्टममध्ये प्रवेश मंजूर करते आणि रिमोट टर्मिनलवर प्रवेश करण्यास परवानगी देते जे हल्लेखोरांना अनियंत्रित आज्ञा अंमलात आणण्याची क्षमता देते.
ऑपरेटिंग मोड
एका प्रकारे, मालवेयर एक निष्क्रिय रोपण म्हणून कार्य करते जे टीसीपी पोर्ट उघडते संक्रमित मशीनवर आणि हॅकरकडून येणार्या कनेक्शनची प्रतीक्षा करत आहोत. दुसरा मोड मालवेअरला लक्ष्य सर्व्हर कमांड अँड कंट्रोल (सीसी) सर्व्हरमध्ये बदलण्याची परवानगी देतो ज्यात इतर कोबालोस-संक्रमित डिव्हाइस कनेक्ट होतात. मालवेयरने तडजोड केलेल्या इतर सर्व्हरशी कनेक्ट प्रॉक्सी म्हणून संक्रमित मशीन्स देखील वापरल्या जाऊ शकतात.
एक मनोरंजक वैशिष्ट्य हे मालवेयर काय वेगळे करते ते ते आहे आपला कोड एका फंक्शनमध्ये पॅक केलेला आहे आणि आपल्याला कायदेशीर ओपनएसएसएच कोडमधून केवळ एक कॉल येईल. तथापि, यात नियंत्रण नसलेला रेखीय प्रवाह आहे, वारंवारपणे हे फंक्शन सबटास्क करण्यासाठी कॉल करीत आहे.
संशोधकांना असे आढळले की कोबालोसशी संपर्क साधण्यासाठी दुर्गम ग्राहकांकडे तीन पर्याय आहेत:
- टीसीपी पोर्ट उघडत आहे आणि येणार्या कनेक्शनची प्रतीक्षा करीत आहे (कधीकधी त्याला "पॅसिव्ह बॅकडोर" देखील म्हटले जाते).
- सर्व्हर म्हणून कार्य करण्यासाठी कॉन्फिगर केलेल्या दुसर्या कोबालोस प्रसंगी कनेक्ट करा.
- आधीपासून चालू असलेल्या कायदेशीर सेवेच्या कनेक्शनची अपेक्षा करा, परंतु ते विशिष्ट स्त्रोत टीसीपी पोर्टवरून येत आहे (ओपनएसएच सर्व्हर इन्फेक्शन चालू आहे).
तरी हॅकर्स संक्रमित मशीनपर्यंत पोहोचण्याचे अनेक मार्ग आहेत कोबालोस सह, पद्धत सर्व्हरमध्ये एक्झिक्यूटेबलमध्ये मालवेयर एम्बेड केलेले असताना सर्वाधिक वापर केला जातो कनेक्शन विशिष्ट टीसीपी स्त्रोत पोर्टचे असल्यास ओपनएसएसएच आणि बॅकडोर कोड सक्रिय करते.
मालवेअर हॅकर्सकडे आणि तेथून रहदारी देखील एन्क्रिप्ट करते, हे करण्यासाठी हॅकर्सने आरएसए -512 की आणि संकेतशब्दासह प्रमाणीकरण केले पाहिजे. की दोन 16-बाइट की व्युत्पन्न आणि कूटबद्ध करते जे आरसी 4 कूटबद्धीकरण वापरून संप्रेषण एन्क्रिप्ट करते.
तसेच, बॅकडोर दुसर्या पोर्टवर संप्रेषण स्विच करू शकतो आणि इतर तडजोडीच्या सर्व्हरपर्यंत पोहोचण्यासाठी प्रॉक्सी म्हणून कार्य करू शकतो.
त्याचा छोटा कोड बेस (केवळ 24 केबी) आणि त्याची कार्यक्षमता लक्षात घेता, ईएसईटी असा दावा करतो की कोबालोसचे परिष्कार "लिनक्स मालवेयरमध्ये क्वचितच आढळतात".
स्त्रोत: https://www.welivesecurity.com