У недавно објављеном извештају, Истраживачи безбедности „ЕСЕТ“ анализирали су злонамерни софтвер Првенствено је био усмерен на рачунаре високих перформанси (ХПЦ), универзитетске и истраживачке мрежне сервере.
Користећи обрнути инжењеринг, открио да нова позадинска врата циља суперрачунаре широм света, често крађу акредитива за сигурне мрежне везе помоћу заражене верзије софтвера ОпенССХ.
„Преокренули смо овај мали, али сложени злонамерни софтвер који је преносив на многе оперативне системе, укључујући Линук, БСД и Соларис.
Неки артефакти откривени током скенирања указују да могу постојати и варијације за АИКС и Виндовс оперативне системе.
Зовемо овај злонамерни софтвер Кобалос због мале величине његовог кода и многих трикова ”,
„Сарађивали смо са тимом за рачунарску безбедност ЦЕРН-а и другим организацијама укљученим у борбу против напада на мреже научног истраживања. Према њиховим речима, употреба злонамерног софтвера Кобалос је иновативна "
ОпенССХ (ОпенБСД Сецуре Схелл) је скуп бесплатних рачунарских алата који омогућавају сигурну комуникацију на рачунарској мрежи користећи ССХ протокол. Шифрира сав саобраћај да би елиминисао отмицу везе и друге нападе. Поред тога, ОпенССХ пружа разне методе потврде идентитета и софистициране опције конфигурације.
О Кобалосу
Према ауторима тог извештаја, Кобалос није искључиво усмерен на ХПЦ. Иако су многи од угрожених система били суперрачунари и сервери у академској заједници и истраживањима, Интернет провајдер у Азији, провајдер сигурносних услуга у Северној Америци, као и неки лични сервери такође су угрожени овом претњом.
Кобалос је генеричка позадина, јер садржи наредбе које поред тога не откривају намеру хакера омогућава даљински приступ систему датотека, нуди могућност отварања сесија терминала и омогућава проки везе на друге сервере заражене Кобалос-ом.
Иако је дизајн Кобалоса сложен, његова функционалност је ограничена и готово у потпуности повезан са скривеним приступом кроз задња врата.
Када се у потпуности примени, злонамерни софтвер омогућава приступ системима датотека угроженог система и омогућава приступ удаљеном терминалу који нападачима даје могућност извршавања произвољних наредби.
Режим рада
На неки начин, злонамерни софтвер делује као пасивни имплантат који отвара ТЦП порт на зараженом рачунару и чека долазну везу од хакера. Други режим омогућава злонамерном софтверу да претвори циљне сервере у сервере за управљање и контролу (ЦоЦ) на које се повезују други уређаји заражени Кобалосом. Заражене машине се такође могу користити као прокси сервери који се повезују са другим серверима угроженим злонамерним софтвером.
Занимљива карактеристика Оно што разликује овај злонамерни софтвер је то ваш код је спакован у једну функцију и примите само један позив из легитимног ОпенССХ кода. Међутим, он има нелинеаран ток контроле, рекурзивно позива ову функцију за извршавање подзадатака.
Истраживачи су открили да удаљени клијенти имају три могућности повезивања са Кобалосом:
- Отварање ТЦП порта и чекање долазне везе (која се понекад назива „пасивна позадинска врата“).
- Повежите се са другом инстанцом Кобалоса конфигурисаном да делује као сервер.
- Очекујте везе са легитимном услугом која је већ покренута, али долази са одређеног изворног ТЦП порта (зараза са покренутог ОпенССХ сервера).
Мада постоји неколико начина на који хакери могу доћи до заражене машине са Кобалосом, методом најчешће се користи када је злонамерни софтвер уграђен у извршну датотеку сервера ОпенССХ и активира позадински код ако је веза са одређеног ТЦП изворног порта.
Злонамерни софтвер такође шифрује саобраћај до и од хакера, да би то урадили, хакери морају да се потврде идентитетом помоћу РСА-512 кључа и лозинке. Кључ генерише и шифрира два кључа од 16 бајтова који шифрују комуникацију помоћу РЦ4 шифровања.
Такође, позадинска врата могу да пребаце комуникацију на други порт и да делују као прокси за досезање других угрожених сервера.
С обзиром на малу базу кода (само 24 КБ) и ефикасност, ЕСЕТ тврди да се софистицираност Кобалоса „ретко може видети у Линук малверу“.
izvor: https://www.welivesecurity.com