V nedávno zverejnenej správe Výskumní pracovníci spoločnosti ESET analyzovali malvér Primárne bol zameraný na vysoko výkonné počítače (HPC), univerzitné a výskumné sieťové servery.
Pomocou reverzného inžinierstva objavil, že nový backdoor sa zameriava na superpočítače po celom svete, často kradnú prihlasovacie údaje na zabezpečené sieťové pripojenia pomocou infikovanej verzie softvéru OpenSSH.
„Spätne sme vytvorili tento malý, ale zložitý malware, ktorý je prenosný do mnohých operačných systémov, vrátane Linuxu, BSD a Solaris.
Niektoré artefakty objavené počas skenovania naznačujú, že môžu existovať aj variácie pre operačné systémy AIX a Windows.
Tento malware nazývame Kobalos kvôli malej veľkosti jeho kódu a mnohým trikom. “,
„Spolupracovali sme s tímom počítačovej bezpečnosti v CERN-e a ďalšími organizáciami zapojenými do boja proti útokom na siete vedeckého výskumu. Podľa nich je použitie škodlivého softvéru Kobalos inovatívne “
OpenSSH (OpenBSD Secure Shell) je sada bezplatných počítačových nástrojov, ktoré umožňujú bezpečnú komunikáciu v počítačovej sieti pomocou protokolu SSH. Zašifruje všetku komunikáciu, aby sa zabránilo únosu spojenia a iným útokom. OpenSSH navyše poskytuje rôzne metódy autentifikácie a prepracované možnosti konfigurácie.
O spoločnosti Kobalos
Podľa autorov tejto správy Spoločnosť Kobalos sa nezameriava výlučne na HPC. Aj keď mnohé z napadnutých systémov boli superpočítače a servery v akademickej sfére a vo výskume, poskytovateľ internetu v Ázii, poskytovateľ bezpečnostných služieb v Severnej Amerike a niektoré osobné servery boli tiež ohrozené touto hrozbou.
Kobalos je všeobecný backdoor, pretože obsahuje príkazy, ktoré okrem toho neodhaľujú úmysel hackerov umožňuje vzdialený prístup k súborovému systému, ponúka možnosť otvárania terminálových relácií a umožňuje pripojenie proxy na iné servery infikované vírusom Kobalos.
Aj keď je dizajn Kobalosu zložitý, jeho funkčnosť je obmedzená a takmer úplne súvisí so skrytým prístupom zadnými dverami.
Po úplnej implementácii malware udeľuje prístup k súborovému systému napadnutého systému a umožňuje prístup k vzdialenému terminálu, ktorý umožňuje útočníkom vykonávať ľubovoľné príkazy.
Prevádzkový režim
Svojím spôsobom, malware funguje ako pasívny implantát, ktorý otvára port TCP na infikovanom počítači a čaká na prichádzajúce pripojenie od hackera. Iný režim umožňuje malvéru zmeniť cieľové servery na servery velenia a riadenia (CoC), ku ktorým sa pripájajú ďalšie zariadenia infikované Kobalos. Infikované počítače môžu byť tiež použité ako servery proxy pripojené k iným serverom napadnutým škodlivým softvérom.
Zaujímavá vlastnosť Tento malware sa odlišuje od toho váš kód je zabalený do jednej funkcie a z legitímneho kódu OpenSSH dostanete iba jeden hovor. Má však nelineárny tok riadenia, rekurzívne volá túto funkciu na vykonávanie čiastkových úloh.
Vedci zistili, že vzdialení klienti majú tri možnosti pripojenia ku Kobalosu:
- Otvorte port TCP a počkajte na prichádzajúce pripojenie (niekedy sa to nazýva „pasívny backdoor“).
- Pripojte sa k inej inštancii Kobalos nakonfigurovanej tak, aby slúžila ako server.
- Očakávajte pripojenie k legitímnej službe, ktorá je už spustená, ale pochádza z konkrétneho zdrojového portu TCP (infekcia servera OpenSSH je spustená).
Hoci existuje niekoľko spôsobov, ako sa môžu hackeri dostať k infikovanému stroju s metódou Kobalos najpoužívanejšie je, keď je malware zabudovaný do spustiteľného súboru servera OpenSSH a aktivuje kód backdoor, ak je pripojenie zo špecifického zdrojového portu TCP.
Malvér tiež šifruje prenos do az hackerov, aby to mohli urobiť, musia sa hackeri autentifikovať pomocou kľúča a hesla RSA-512. Kľúč generuje a šifruje dva 16-bajtové kľúče, ktoré šifrujú komunikáciu pomocou šifrovania RC4.
Backdoor tiež môže prepnúť komunikáciu na iný port a pôsobiť ako server proxy na dosiahnutie ďalších napadnutých serverov.
Vzhľadom na malú základňu kódov (iba 24 kB) a efektivitu spoločnosť ESET tvrdí, že sofistikovanosť Kobalosu sa v malvéri v systéme Linux „zriedka vyskytuje“.
Fuente: https://www.welivesecurity.com