Kobalos, um malware que rouba credenciais SSH no Linux, BSD e Solaris

Em um relatório publicado recentemente, Pesquisadores de segurança "ESET" analisaram um malware Ele era voltado principalmente para computadores de alto desempenho (HPC), universitários e servidores de rede de pesquisa.

Usando engenharia reversa, descobriram que um novo backdoor tem como alvo supercomputadores em todo o mundo, muitas vezes roubando credenciais para conexões de rede seguras usando uma versão infectada do software OpenSSH.

“Fizemos engenharia reversa desse malware pequeno, mas complexo, que é portátil para muitos sistemas operacionais, incluindo Linux, BSD e Solaris.

Alguns artefatos descobertos durante a varredura indicam que também pode haver variações para os sistemas operacionais AIX e Windows.

Chamamos isso de malware Kobalos devido ao tamanho pequeno de seu código e seus muitos truques ”, 

“Temos trabalhado com a equipe de segurança de computadores do CERN e outras organizações envolvidas na luta contra ataques a redes de pesquisa científica. Segundo eles, o uso do malware Kobalos é inovador "

OpenSSH (OpenBSD Secure Shell) é um conjunto de ferramentas gratuitas de computador que permitem comunicações seguras em uma rede de computadores usando o protocolo SSH. Criptografa todo o tráfego para eliminar o sequestro de conexão e outros ataques. Além disso, o OpenSSH fornece vários métodos de autenticação e opções de configuração sofisticadas.

Sobre Kobalos

De acordo com os autores desse relatório, Kobalos não tem como alvo exclusivo os HPCs. Embora muitos dos sistemas comprometidos fossem supercomputadores e servidores na academia e pesquisa, um provedor de Internet na Ásia, um provedor de serviços de segurança na América do Norte, bem como alguns servidores pessoais também foram comprometidos por essa ameaça.

Kobalos é um backdoor genérico, pois contém comandos que não revelam a intenção dos hackers, além de permite acesso remoto ao sistema de arquivos, oferece a capacidade de abrir sessões de terminal e permite conexões proxy para outros servidores infectados com Kobalos.

Embora o design do Kobalos seja complexo, sua funcionalidade é limitada e quase inteiramente relacionado ao acesso oculto por uma porta dos fundos.

Depois de totalmente implementado, o malware concede acesso ao sistema de arquivos do sistema comprometido e permite acesso a um terminal remoto que dá aos invasores a capacidade de executar comandos arbitrários.

Modo operacional

De certa forma, o malware atua como um implante passivo que abre uma porta TCP em uma máquina infectada e esperando por uma conexão de entrada de um hacker. Outro modo permite que o malware transforme os servidores de destino em servidores de comando e controle (CoC) aos quais outros dispositivos infectados pelo Kobalos se conectam. As máquinas infectadas também podem ser usadas como proxies conectando-se a outros servidores comprometidos por malware.

Uma característica interessante O que distingue esse malware é que seu código é compactado em uma única função e você só recebe uma chamada do código OpenSSH legítimo. No entanto, ele possui um fluxo de controle não linear, chamando recursivamente essa função para realizar subtarefas.

Os pesquisadores descobriram que os clientes remotos têm três opções para se conectar ao Kobalos:

  1. Abra uma porta TCP e aguarde uma conexão de entrada (às vezes chamada de "porta dos fundos passiva").
  2. Conecte-se a outra instância Kobalos configurada para servir como um servidor.
  3. Espere conexões com um serviço legítimo que já está em execução, mas vem de uma porta TCP de origem específica (infecção do servidor OpenSSH em execução).

Embora existem várias maneiras pelas quais os hackers podem alcançar uma máquina infectada com Kobalos, o método mais usado é quando o malware está embutido no executável do servidor OpenSSH e ativa o código backdoor se a conexão for de uma porta de origem TCP específica.

O malware também criptografa o tráfego de e para hackers. Para fazer isso, os hackers devem se autenticar com uma chave RSA-512 e senha. A chave gera e criptografa duas chaves de 16 bytes que criptografam a comunicação usando criptografia RC4.

Além disso, o backdoor pode mudar a comunicação para outra porta e atuar como um proxy para alcançar outros servidores comprometidos.

Dada sua pequena base de código (apenas 24 KB) e sua eficiência, a ESET afirma que a sofisticação do Kobalos é "raramente vista em malware Linux".

fonte: https://www.welivesecurity.com


Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.