V nedavno objavljenem poročilu Raziskovalci varnosti "ESET" so analizirali zlonamerno programsko opremo Namenjen je bil predvsem visoko zmogljivim računalnikom (HPC), univerzitetnim in raziskovalnim omrežnim strežnikom.
Z uporabo obratnega inženiringa, odkril, da novo zakulisje cilja na superračunalnike po vsem svetu, pogosto krajo poverilnic za varne omrežne povezave z okuženo različico programske opreme OpenSSH.
»To majhno, a zapleteno zlonamerno programsko opremo, ki je prenosljiva v številne operacijske sisteme, vključno z Linuxom, BSD in Solarisom, smo preoblikovali.
Nekateri artefakti, odkriti med pregledom, kažejo, da lahko obstajajo tudi različice za operacijski sistem AIX in Windows.
To zlonamerno programsko opremo imenujemo Kobalos zaradi majhnosti kode in številnih trikov. ",
»Sodelovali smo z ekipo za računalniško varnost CERN-a in drugimi organizacijami, ki sodelujejo v boju proti napadom na znanstvenoraziskovalna omrežja. Po njihovem mnenju je uporaba zlonamerne programske opreme Kobalos inovativna "
OpenSSH (OpenBSD Secure Shell) je nabor brezplačnih računalniških orodij, ki omogočajo varno komunikacijo v računalniškem omrežju s protokolom SSH. Šifrira ves promet, da odpravi ugrabitev povezave in druge napade. Poleg tega OpenSSH ponuja različne metode preverjanja pristnosti in izpopolnjene možnosti konfiguracije.
O Kobalosu
Po navedbah avtorjev tega poročila Kobalos ni usmerjen izključno na HPC. Čeprav so bili mnogi ogroženi sistemi superračunalniki in strežniki v akademskem svetu in raziskave, Ta grožnja je ogrozila tudi internetnega ponudnika v Aziji, ponudnika varnostnih storitev v Severni Ameriki in nekatere osebne strežnike.
Kobalos je generično zakulisje, saj vsebuje tudi ukaze, ki ne razkrivajo namena hekerjev omogoča oddaljeni dostop do datotečnega sistema, ponuja možnost odpiranja terminalskih sej in omogoča proxy povezave na druge strežnike, okužene s Kobalosom.
Čeprav je zasnova Kobalosa zapletena, je njegova funkcionalnost omejena in skoraj v celoti povezan s skritim dostopom skozi zadnja vrata.
Ko je zlonamerna programska oprema v celoti implementirana, omogoča dostop do datotečnega sistema ogroženega sistema in omogoča dostop do oddaljenega terminala, ki napadalcem omogoča izvajanje poljubnih ukazov.
Način delovanja
Na nek način zlonamerna programska oprema deluje kot pasivni vsadek, ki odpira vrata TCP na okuženem računalniku in čaka na dohodno povezavo hekerja. Drugi način omogoča zlonamerni programski opremi, da ciljne strežnike spremeni v strežnike za nadzor in nadzor (CoC), na katere se povezujejo druge naprave, okužene s Kobalosom. Okuženi računalniki se lahko uporabljajo tudi kot posredniki, ki se povezujejo z drugimi strežniki, ki jih ogroža zlonamerna programska oprema.
Zanimiva lastnost To, kar loči to zlonamerno programsko opremo, je to vaša koda je zapakirana v eno samo funkcijo in prejmete samo en klic iz zakonite kode OpenSSH. Vendar ima nelinearni tok nadzora, ki rekurzivno kliče to funkcijo za izvajanje podopravil.
Raziskovalci so ugotovili, da imajo oddaljeni odjemalci tri možnosti za povezavo s Kobalosom:
- Odprite vrata TCP in počakajte na dohodno povezavo (včasih imenovano tudi "pasivno zakulisje").
- Povežite se z drugim primerkom Kobalosa, konfiguriranim za strežnik.
- Pričakujte povezave z zakonito storitvijo, ki se že izvaja, vendar prihaja iz določenih izvornih vrat TCP (izvaja se okužba strežnika OpenSSH).
Čeprav hekerji lahko na okuženi stroj pridejo na več načinov s Kobalosom, metoda najpogosteje se uporablja, ko je zlonamerna programska oprema vdelana v strežniško izvršljivo datoteko OpenSSH in aktivira zakulisno kodo, če je povezava iz določenih izvornih vrat TCP.
Zlonamerna programska oprema tudi šifrira promet do in od hekerjev, zato se morajo hekerji overiti s ključem RSA-512 in geslom. Ključ ustvari in šifrira dva 16-bajtna ključa, ki šifrirata komunikacijo s pomočjo šifriranja RC4.
Poleg tega lahko zakulisje preklopi komunikacijo na druga vrata in deluje kot posrednik za dostop do drugih ogroženih strežnikov.
Glede na svojo majhno kodno osnovo (le 24 KB) in učinkovitost ESET trdi, da je prefinjenost Kobalosa "v zlonamerni programski opremi Linux redko vidna".
vir: https://www.welivesecurity.com