В недавно опубликованном отчете Исследователи безопасности «ESET» проанализировали вредоносное ПО В первую очередь он был нацелен на высокопроизводительные компьютеры (HPC), серверы университетских и исследовательских сетей.
Используя реверс-инжиниринг, обнаружил, что новый бэкдор нацелен на суперкомпьютеры по всему миру, часто крадут учетные данные для безопасных сетевых подключений с помощью зараженной версии программного обеспечения OpenSSH.
«Мы реконструировали это небольшое, но сложное вредоносное ПО, которое переносимо на многие операционные системы, включая Linux, BSD и Solaris.
Некоторые артефакты, обнаруженные во время сканирования, указывают на то, что также могут быть варианты для операционных систем AIX и Windows.
Мы называем это вредоносное ПО Kobalos из-за небольшого размера кода и множества уловок »,
«Мы работали с группой компьютерной безопасности CERN и другими организациями, участвующими в борьбе с атаками на научно-исследовательские сети. По их словам, использование вредоносного ПО Kobalos является новаторским ».
OpenSSH (OpenBSD Secure Shell) - это набор бесплатных компьютерных инструментов, которые обеспечивают безопасную связь в компьютерной сети с использованием протокола SSH. Шифрует весь трафик для предотвращения перехвата соединения и других атак. Кроме того, OpenSSH предоставляет различные методы аутентификации и сложные параметры конфигурации.
О Кобалосе
По мнению авторов отчета, Кобалос нацелен не только на высокопроизводительные вычисления. Хотя многие из скомпрометированных систем были суперкомпьютеры и серверы в академических и исследовательских кругах, Интернет-провайдер в Азии, поставщик услуг безопасности в Северной Америке, а также некоторые персональные серверы также были скомпрометированы этой угрозой.
Кобалос - это общий бэкдор, поскольку он содержит команды, которые не раскрывают намерения хакеров, в дополнение к позволяет удаленный доступ к файловой системе, предлагает возможность открывать терминальные сеансы и разрешает прокси-соединения на другие серверы, зараженные Kobalos.
Хотя конструкция Kobalos сложна, ее функциональность ограничена. и почти полностью связано со скрытым доступом через черный ход.
После полного развертывания вредоносная программа предоставляет доступ к файловой системе скомпрометированной системы и разрешает доступ к удаленному терминалу, который дает злоумышленникам возможность выполнять произвольные команды.
Рабочий режим
В каком-то смысле вредоносная программа действует как пассивный имплант, открывающий TCP-порт на зараженной машине и ожидает входящего соединения от хакера. Другой режим позволяет вредоносному ПО превращать целевые серверы в серверы управления и контроля (CoC), к которым подключаются другие зараженные Kobalos устройства. Зараженные машины также могут использоваться в качестве прокси-серверов для подключения к другим серверам, зараженным вредоносным ПО.
Интересная особенность Это вредоносное ПО отличается тем, что ваш код упакован в одну функцию, и вы получаете только один вызов от законного кода OpenSSH. Однако у него есть нелинейный поток управления, рекурсивно вызывающий эту функцию для выполнения подзадач.
Исследователи обнаружили, что у удаленных клиентов есть три варианта подключения к Kobalos:
- Открытие TCP-порта и ожидание входящего соединения (иногда называемое «пассивным бэкдором»).
- Подключитесь к другому экземпляру Kobalos, настроенному для работы в качестве сервера.
- Ожидайте подключения к законной службе, которая уже запущена, но исходит из определенного исходного TCP-порта (заражение от работающего сервера OpenSSH).
Хотя есть несколько способов добраться до зараженной машины хакерами с Кобалосом метод чаще всего используется, когда вредоносная программа встроена в исполняемый файл сервера. OpenSSH и активирует код бэкдора, если соединение осуществляется с определенного исходного порта TCP.
Вредоносное ПО также шифрует трафик к хакерам и от них, для этого хакеры должны пройти аутентификацию с помощью ключа и пароля RSA-512. Ключ генерирует и шифрует два 16-байтовых ключа, которые шифруют обмен данными с использованием шифрования RC4.
Кроме того, бэкдор может переключать связь на другой порт и действовать как прокси для доступа к другим скомпрометированным серверам.
Учитывая небольшую кодовую базу (всего 24 КБ) и эффективность, ESET утверждает, что изощренность Kobalos «редко встречается в вредоносных программах для Linux».
источник: https://www.welivesecurity.com