Kobalos, een malware die SSH-inloggegevens steelt op Linux, BSD en Solaris

Darkcrizt

4 minuten

In een recent gepubliceerd rapport, "ESET" -beveiligingsonderzoekers hebben malware geanalyseerd Het was voornamelijk gericht op high-performance computers (HPC), universitaire en onderzoeksnetwerkservers.

Met behulp van reverse engineering, ontdekte dat een nieuwe achterdeur zich richt op supercomputers over de hele wereld, waarbij ze vaak inloggegevens voor beveiligde netwerkverbindingen stelen met behulp van een geïnfecteerde versie van de OpenSSH-software.

“We hebben reverse-engineering ontwikkeld voor deze kleine, maar complexe malware, die naar veel besturingssystemen kan worden overgedragen, waaronder Linux, BSD en Solaris.

Sommige artefacten die tijdens de scan zijn ontdekt, geven aan dat er mogelijk ook variaties zijn voor AIX- en Windows-besturingssystemen.

We noemen deze malware Kobalos vanwege de kleine omvang van de code en de vele trucs ", 

“We hebben samengewerkt met het computerbeveiligingsteam van CERN en andere organisaties die betrokken zijn bij de strijd tegen aanvallen op wetenschappelijke onderzoeksnetwerken. Volgens hen is het gebruik van Kobalos-malware innovatief "

OpenSSH (OpenBSD Secure Shell) is een set gratis computerhulpmiddelen die veilige communicatie op een computernetwerk mogelijk maken met behulp van het SSH-protocol. Versleutelt al het verkeer om het kapen van verbindingen en andere aanvallen te voorkomen. Bovendien biedt OpenSSH verschillende authenticatiemethoden en geavanceerde configuratie-opties.

Over Kobalos

Volgens de auteurs van dat rapport, Kobalos richt zich niet uitsluitend op HPC's. Hoewel veel van de gecompromitteerde systemen dat wel waren supercomputers en servers in de academische wereld en onderzoek, een internetprovider in Azië, een beveiligingsserviceprovider in Noord-Amerika en enkele persoonlijke servers werden ook aangetast door deze dreiging.

Kobalos is een generieke achterdeur, omdat het commando's bevat die niet de bedoeling van de hackers onthullen, naast maakt externe toegang tot het bestandssysteem mogelijk, biedt de mogelijkheid om terminalsessies te openen en staat proxyverbindingen toe naar andere servers die zijn geïnfecteerd met Kobalos.

Hoewel het ontwerp van Kobalos complex is, is de functionaliteit beperkt en vrijwel geheel gerelateerd aan verborgen toegang via een achterdeur.

Eenmaal volledig geïmplementeerd, verleent de malware toegang tot het bestandssysteem van het gecompromitteerde systeem en geeft toegang tot een externe terminal die aanvallers de mogelijkheid geeft om willekeurige commando's uit te voeren.

Bedrijfsmodus

Op een manier, de malware fungeert als een passief implantaat dat een TCP-poort opent op een geïnfecteerde machine en wacht op een inkomende verbinding van een hacker. Een andere modus stelt malware in staat doelservers om te zetten in command and control (CoC) -servers waarmee andere door Kobalos geïnfecteerde apparaten verbinding maken. De geïnfecteerde machines kunnen ook worden gebruikt als proxy's die verbinding maken met andere servers die zijn aangetast door malware.

Een interessante functie Wat deze malware onderscheidt, is dat uw code is verpakt in een enkele functie en u krijgt slechts één aanroep van de legitieme OpenSSH-code. Het heeft echter een niet-lineaire controlestroom, waarbij deze functie recursief wordt aangeroepen om subtaken uit te voeren.

De onderzoekers ontdekten dat externe clients drie opties hebben om verbinding te maken met Kobalos:

  1. Open een TCP-poort en wacht op een inkomende verbinding (ook wel een "passieve achterdeur" genoemd).
  2. Maak verbinding met een ander Kobalos-exemplaar dat is geconfigureerd om als server te dienen.
  3. Verwacht verbindingen met een legitieme service die al actief is, maar afkomstig is van een specifieke bron-TCP-poort (OpenSSH-serverinfectie wordt uitgevoerd).

Hoewel er zijn verschillende manieren waarop hackers een geïnfecteerde machine kunnen bereiken met Kobalos, de methode meest gebruikt is wanneer de malware is ingesloten in het uitvoerbare bestand van de server OpenSSH en activeert de achterdeurcode als de verbinding afkomstig is van een specifieke TCP-bronpoort.

Malware versleutelt ook het verkeer van en naar hackers. Om dit te doen, moeten hackers zich authenticeren met een RSA-512-sleutel en wachtwoord. De sleutel genereert en versleutelt twee sleutels van 16 bytes die de communicatie versleutelen met RC4-versleuteling.

Ook kan de achterdeur de communicatie naar een andere poort schakelen en als proxy fungeren om andere gecompromitteerde servers te bereiken.

Gezien de kleine codebasis (slechts 24 KB) en de efficiëntie, beweert ESET dat de verfijning van Kobalos "zelden wordt gezien in Linux-malware".

bron: https://www.welivesecurity.com


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.