Kobalos, perisian hasad yang mencuri kelayakan SSH pada Linux, BSD dan Solaris

Darkcrizt

Minit 4

Dalam laporan yang baru diterbitkan, Penyelidik keselamatan "ESET" menganalisis perisian hasad Ia bertujuan terutamanya untuk komputer berprestasi tinggi (HPC), pelayan rangkaian universiti dan penyelidikan.

Menggunakan kejuruteraan terbalik, mendapati bahawa pintu belakang baru mensasarkan komputer super di seluruh dunia, sering mencuri kelayakan untuk sambungan rangkaian yang selamat menggunakan versi perisian OpenSSH yang dijangkiti.

“Kami membalikkan perisian jahat kecil tetapi kompleks ini, yang mudah dibawa ke banyak sistem operasi, termasuk Linux, BSD, dan Solaris.

Beberapa artifak yang ditemui semasa imbasan menunjukkan bahawa mungkin juga terdapat variasi untuk sistem operasi AIX dan Windows.

Kami memanggil malware ini Kobalos kerana saiz kodnya yang kecil dan banyak muslihatnya ”, 

"Kami telah bekerjasama dengan pasukan keselamatan komputer CERN dan organisasi lain yang terlibat dalam memerangi serangan ke atas rangkaian penyelidikan saintifik. Menurut mereka, penggunaan malware Kobalos inovatif "

OpenSSH (OpenBSD Secure Shell) adalah sekumpulan alat komputer percuma yang membolehkan komunikasi selamat di rangkaian komputer menggunakan protokol SSH. Menyulitkan semua lalu lintas untuk menghilangkan rampasan sambungan dan serangan lain. Di samping itu, OpenSSH menyediakan pelbagai kaedah pengesahan dan pilihan konfigurasi yang canggih.

Mengenai Kobalos

Menurut penulis laporan itu, Kobalos tidak menyasarkan HPC secara eksklusif. Walaupun banyak sistem yang dikompromikan superkomputer dan pelayan dalam akademik dan penyelidikan, penyedia Internet di Asia, penyedia perkhidmatan keselamatan di Amerika Utara, serta beberapa pelayan peribadi juga terganggu oleh ancaman ini.

Kobalos adalah pintu belakang generik, kerana mengandungi perintah yang tidak mengungkapkan niat penggodam, selain membolehkan akses jauh ke sistem fail, menawarkan kemampuan untuk membuka sesi terminal dan membenarkan sambungan proksi ke pelayan lain yang dijangkiti Kobalos.

Walaupun reka bentuk Kobalos kompleks, namun fungsinya terhad dan hampir keseluruhannya berkaitan dengan akses tersembunyi melalui pintu belakang.

Setelah digunakan sepenuhnya, malware memberikan akses ke sistem fail sistem yang dikompromikan dan membolehkan akses ke terminal jauh yang memberi penyerang kemampuan untuk melaksanakan perintah sewenang-wenangnya.

Mod operasi

Dengan cara yang, malware berfungsi sebagai implan pasif yang membuka port TCP pada mesin yang dijangkiti dan menunggu sambungan masuk dari penggodam. Mod lain membolehkan perisian hasad mengubah pelayan sasaran menjadi pelayan perintah dan kawalan (CoC) yang disambungkan oleh peranti yang dijangkiti Kobalos yang lain. Mesin yang dijangkiti juga boleh digunakan sebagai proksi yang menghubungkan ke pelayan lain yang disusupi oleh perisian hasad.

Ciri yang menarik Yang membezakan perisian hasad ini ialah kod anda dimasukkan ke dalam satu fungsi dan anda hanya mendapat satu panggilan dari kod OpenSSH yang sah. Walau bagaimanapun, ia mempunyai aliran kawalan tidak linier, secara berulang memanggil fungsi ini untuk melakukan subtugas.

Para penyelidik mendapati bahawa pelanggan jarak jauh mempunyai tiga pilihan untuk menyambung ke Kobalos:

  1. Buka port TCP dan tunggu sambungan masuk (kadang-kadang disebut "pintu belakang pasif").
  2. Sambungkan ke contoh Kobalos lain yang dikonfigurasi untuk berfungsi sebagai pelayan.
  3. Jangkakan sambungan ke perkhidmatan sah yang sudah berjalan, tetapi berasal dari port TCP sumber tertentu (jangkitan pelayan OpenSSH berjalan).

Walaupun terdapat beberapa cara penggodam dapat menjangkau mesin yang dijangkiti dengan Kobalos, kaedahnya yang paling banyak digunakan adalah ketika malware disematkan di pelayan yang dapat dijalankan OpenSSH dan mengaktifkan kod pintu belakang jika sambungannya dari port sumber TCP tertentu.

Perisian hasad juga menyulitkan lalu lintas ke dan dari penggodam, untuk melakukan ini, penggodam mesti mengesahkan dengan kunci dan kata laluan RSA-512. Kunci menghasilkan dan menyulitkan dua kekunci 16-bait yang menyulitkan komunikasi menggunakan penyulitan RC4.

Juga, pintu belakang boleh menukar komunikasi ke port lain dan bertindak sebagai proksi untuk menjangkau pelayan lain yang dikompromikan.

Memandangkan pangkalan kodnya yang kecil (hanya 24 KB) dan kecekapannya, ESET mendakwa bahawa kecanggihan Kobalos "jarang dilihat dalam malware Linux".

Fuente: https://www.welivesecurity.com


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.