Kobalos, złośliwe oprogramowanie, które kradnie dane uwierzytelniające SSH w systemach Linux, BSD i Solaris

Darkcrizt

4 minut

W niedawno opublikowanym raporcie Badacze bezpieczeństwa „ESET” przeanalizowali złośliwe oprogramowanie Był skierowany przede wszystkim do komputerów o wysokiej wydajności (HPC), serwerów uniwersyteckich i sieci badawczych.

Korzystanie z inżynierii odwrotnej, odkrył, że nowy backdoor jest przeznaczony dla superkomputerów na całym świecie, często kradnąc dane uwierzytelniające do bezpiecznych połączeń sieciowych przy użyciu zainfekowanej wersji oprogramowania OpenSSH.

„Przeprowadziliśmy inżynierię wsteczną tego małego, ale złożonego złośliwego oprogramowania, które można przenosić na wiele systemów operacyjnych, w tym Linux, BSD i Solaris.

Niektóre artefakty wykryte podczas skanowania wskazują, że mogą istnieć również odmiany dla systemów operacyjnych AIX i Windows.

Nazywamy to złośliwe oprogramowanie Kobalos ze względu na mały rozmiar jego kodu i wiele sztuczek ”, 

„Współpracowaliśmy z zespołem ds. Bezpieczeństwa komputerowego CERN i innymi organizacjami zaangażowanymi w walkę z atakami na sieci naukowo-badawcze. Według nich wykorzystanie złośliwego oprogramowania Kobalos jest innowacyjne ”

OpenSSH (OpenBSD Secure Shell) to zestaw bezpłatnych narzędzi komputerowych, które umożliwiają bezpieczną komunikację w sieci komputerowej z wykorzystaniem protokołu SSH. Szyfruje cały ruch, aby wyeliminować przechwytywanie połączenia i inne ataki. Ponadto OpenSSH zapewnia różne metody uwierzytelniania i zaawansowane opcje konfiguracji.

O Kobalos

Zdaniem autorów tego raportu Kobalos nie koncentruje się wyłącznie na HPC. Chociaż wiele z zainfekowanych systemów było superkomputery i serwery w środowisku akademickim i naukowym, dostawca usług internetowych w Azji, dostawca usług bezpieczeństwa w Ameryce Północnej, a także niektóre serwery osobiste również zostały narażone na to zagrożenie.

Kobalos to rodzajowy backdoor, ponieważ zawiera polecenia, które nie ujawniają intencji hakerów, oprócz umożliwia zdalny dostęp do systemu plików, oferuje możliwość otwierania sesji terminalowych i umożliwia połączenia proxy na inne serwery zainfekowane Kobalosem.

Chociaż projekt Kobalos jest złożony, jego funkcjonalność jest ograniczona i prawie całkowicie związane z ukrytym dostępem przez tylne drzwi.

Po pełnym wdrożeniu, złośliwe oprogramowanie zapewnia dostęp do systemu plików zaatakowanego systemu i umożliwia dostęp do zdalnego terminala, który daje atakującym możliwość wykonywania dowolnych poleceń.

Tryb pracy

W pewien sposób, szkodliwe oprogramowanie działa jako pasywny implant otwierający port TCP na zainfekowanej maszynie i czeka na połączenie przychodzące od hakera. Inny tryb umożliwia złośliwemu oprogramowaniu zamianę docelowych serwerów w serwery dowodzenia i kontroli (CoC), z którymi łączą się inne urządzenia zainfekowane przez Kobalos. Zainfekowane maszyny mogą być również używane jako serwery proxy łączące się z innymi serwerami, na które narażone jest złośliwe oprogramowanie.

Ciekawa funkcja To, co wyróżnia to złośliwe oprogramowanie, to to Twój kod jest spakowany w jedną funkcję i otrzymujesz tylko jedno wywołanie z legalnego kodu OpenSSH. Jednak ma nieliniowy przepływ sterowania, rekurencyjnie wywołując tę ​​funkcję w celu wykonania podzadań.

Naukowcy odkryli, że zdalni klienci mają trzy opcje łączenia się z Kobalos:

  1. Otwieranie portu TCP i oczekiwanie na połączenie przychodzące (czasami nazywane „pasywnym tylnym wejściem”).
  2. Połącz się z inną instancją Kobalos skonfigurowaną do działania jako serwer.
  3. Oczekuj połączeń z legalną usługą, która już działa, ale pochodzi z określonego portu źródłowego TCP (infekcja z działającego serwera OpenSSH).

Chociaż hakerzy mogą dotrzeć do zainfekowanej maszyny na kilka sposobów z Kobalosem, metodą najczęściej używane jest, gdy złośliwe oprogramowanie jest osadzone w pliku wykonywalnym serwera OpenSSH i aktywuje kod backdoora, jeśli połączenie pochodzi z określonego portu źródłowego TCP.

Złośliwe oprogramowanie szyfruje również ruch do i od hakerów, aby to zrobić, hakerzy muszą uwierzytelnić się za pomocą klucza i hasła RSA-512. Klucz generuje i szyfruje dwa 16-bajtowe klucze, które szyfrują komunikację za pomocą szyfrowania RC4.

Ponadto backdoor może przełączyć komunikację na inny port i działać jako serwer proxy w celu uzyskania dostępu do innych zagrożonych serwerów.

Biorąc pod uwagę jego małą bazę kodu (tylko 24 KB) i jego wydajność, ESET twierdzi, że wyrafinowanie Kobalos jest „rzadko spotykane w złośliwym oprogramowaniu dla systemu Linux”.

źródło: https://www.welivesecurity.com


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.