Kobalos, un malware care fură acreditări SSH pe Linux, BSD și Solaris

Darkcrizt

Minute 4

Într-un raport publicat recent, Cercetătorii de securitate „ESET” au analizat un malware Acesta a fost destinat în principal computerelor de înaltă performanță (HPC), universității și serverelor de rețea de cercetare.

Folosind ingineria inversă, a descoperit că o nouă ușă din spate vizează supercomputerele din întreaga lume, furând adesea acreditări pentru conexiuni de rețea securizate utilizând o versiune infectată a software-ului OpenSSH.

„Am proiectat invers acest malware mic, dar complex, care este portabil pentru multe sisteme de operare, inclusiv Linux, BSD și Solaris.

Unele artefacte descoperite în timpul scanării indică faptul că pot exista și variații pentru sistemele de operare AIX și Windows.

Acest program malware îl numim Kobalos din cauza dimensiunii reduse a codului său și a numeroaselor trucuri ”, 

„Am lucrat cu echipa de securitate a computerului CERN și cu alte organizații implicate în lupta împotriva atacurilor asupra rețelelor de cercetare științifică. Potrivit acestora, utilizarea programelor malware Kobalos este inovatoare "

OpenSSH (OpenBSD Secure Shell) este un set de instrumente informatice gratuite care permit comunicații sigure pe o rețea de calculatoare folosind protocolul SSH. Criptează tot traficul pentru a elimina deturnarea conexiunii și alte atacuri. În plus, OpenSSH oferă diverse metode de autentificare și opțiuni de configurare sofisticate.

Despre Kobalos

Potrivit autorilor acestui raport, Kobalos nu vizează exclusiv HPC-urile. Deși multe dintre sistemele compromise au fost supercomputerele și serverele din mediul academic și de cercetare, un furnizor de internet din Asia, un furnizor de servicii de securitate din America de Nord, precum și unele servere personale au fost, de asemenea, compromise de această amenințare.

Kobalos este un backdoor generic, deoarece conține comenzi care nu dezvăluie intenția hackerilor, pe lângă permite accesul la distanță la sistemul de fișiere, oferă posibilitatea de a deschide sesiuni de terminal și permite conexiuni proxy către alte servere infectate cu Kobalos.

Deși designul Kobalos este complex, funcționalitatea sa este limitată și aproape în întregime legată de accesul ascuns printr-o ușă din spate.

Odată implementat complet, malware-ul acordă acces la sistemul de fișiere de sistem compromis și permite accesul la un terminal la distanță care oferă atacatorilor posibilitatea de a executa comenzi arbitrare.

Mod de operare

Într-un fel, malware-ul acționează ca un implant pasiv care deschide un port TCP pe o mașină infectată și așteaptă o conexiune primită de la un hacker. Un alt mod permite malware-ului să transforme serverele țintă în servere de comandă și control (CoC) la care se conectează alte dispozitive infectate cu Kobalos. Mașinile infectate pot fi folosite și ca proxy-uri care se conectează la alte servere compromise de malware.

O caracteristică interesantă Ceea ce distinge acest malware este că codul dvs. este împachetat într-o singură funcție și primiți un singur apel de la codul OpenSSH legitim. Cu toate acestea, are un flux neliniar de control, apelând recursiv această funcție pentru a efectua sarcini secundare.

Cercetătorii au descoperit că clienții la distanță au trei opțiuni pentru conectarea la Kobalos:

  1. Deschideți un port TCP și așteptați o conexiune de intrare (numită uneori „backdoor pasiv”).
  2. Conectați-vă la o altă instanță Kobalos configurată pentru a servi ca server.
  3. Așteptați conexiuni la un serviciu legitim care rulează deja, dar care provine dintr-un anumit port sursă TCP (infecția serverului OpenSSH rulează).

Deși există mai multe moduri în care hackerii pot ajunge la un aparat infectat cu Kobalos, metoda cel mai utilizat este atunci când malware-ul este încorporat în executabilul serverului OpenSSH și activează codul backdoor dacă conexiunea provine de la un anumit port sursă TCP.

De asemenea, programele malware criptează traficul către și de la hackeri, pentru a face acest lucru, hackerii trebuie să se autentifice cu o cheie și o parolă RSA-512. Cheia generează și criptează două chei de 16 octeți care criptează comunicația utilizând criptarea RC4.

De asemenea, backdoor-ul poate comuta comunicarea către un alt port și poate acționa ca un proxy pentru a ajunge la alte servere compromise.

Având în vedere baza sa mică de cod (doar 24 KB) și eficiența sa, ESET susține că sofisticarea Kobalos este „rar văzută în malware-ul Linux”.

Fuente: https://www.welivesecurity.com


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.