Kobalos, malware anu nyolong kredensial SSH dina Linux, BSD sareng Solaris

Dina laporan anu nembe diterbitkeun, Panaliti kaamanan "ESET" nganalisis malware Utamana ditujukeun pikeun komputer kinerja tinggi (HPC), universitas sareng server jaringan panilitian.

Ngagunakeun rékayasa tibalik, mendakan yén panto tukang anyar nargétkeun komputer super di dunya, sering maok kredensial pikeun sambungan jaringan anu aman nganggo vérsi anu katémbong tina parangkat lunak OpenSSH.

"Kami ngabalikeun rékayasa leutik ieu, tapi malware rumit, anu tiasa diangkut kana seueur sistem operasi, kalebet Linux, BSD, sareng Solaris.

Sababaraha artéfak anu kapendak nalika scan nunjukkeun yén aya ogé variasi pikeun sistem operasi AIX sareng Windows.

Kami nyebat malware ieu Kobalos kusabab ukuran alit tina kode na sareng seueur trik na ", 

"Kami parantos damel sareng tim kaamanan komputer CERN sareng organisasi sanés anu kalibet dina perang ngalawan serangan dina jaringan panilitian ilmiah. Numutkeun aranjeunna, panggunaan malware Kobalos inovatif "

OpenSSH (OpenBSD Secure Shell) mangrupikeun saperangkat alat komputer gratis anu ngamungkinkeun komunikasi aman dina jaringan komputer nganggo protokol SSH. Énkripsi sadaya patalimarga pikeun ngaleungitkeun pembajakan konéksi sareng serangan anu sanés. Salaku tambahan, OpenSSH nyayogikeun sababaraha rupa metode auténtikasi sareng pilihan konfigurasi anu canggih.

Ngeunaan Kobalos

Numutkeun ka panulis laporan éta, Kobalos henteu sacara khusus nargétkeun HPC. Sanaos seueur sistem anu dikompromikeun komputer super sareng server dina akademi sareng panilitian, panyadia Internét di Asia, panyadia layanan kaamanan di Amérika Kalér, ogé sababaraha sérver pribadi ogé kompromi ku ancaman ieu.

Kobalos mangrupikeun lawang umum anu umum, sabab ngandung paréntah anu henteu nembongkeun maksud tina hacker, sajaba ti ngamungkinkeun aksés jauh kana sistem file, nawiskeun kamampuan pikeun muka sési terminal, sareng ngamungkinkeun sambungan proxy ka sérver sanés anu kaserang Kobalos.

Sanaos desain Kobalos rumit, fungsina terbatas sareng ampir sadayana aya hubunganana sareng aksés anu disumputkeun ngalangkungan panto tukang.

Sakali lengkep dikintunkeun, malware masihan aksés kana sistem file sistem anu dikompromikeun sareng ngamungkinkeun aksés ka terminal jauh anu masihan panyerang kamampuan pikeun ngajalankeun paréntah sawenang-wenang.

Modeu operasi

Margi kitu, malware tindakan minangka implan pasip anu muka port TCP dina mesin anu kainféksi sareng ngantosan koneksi anu lebet tina hacker. Modeu anu sanés ngamungkinkeun malware pikeun ngarobih sasar target janten paréntah sareng kontrol (CoC) sérver anu nyambung alat anu kaserang Kobalos sanés. Mesin anu kaserang ogé tiasa dianggo salaku proksi anu nyambung ka sérver anu sanés kompromi ku malware.

Fitur anu matak Anu ngabédakeun malware ieu nyaéta kode anjeun dikemas kana hiji fungsi sareng anjeun ngan ukur nampi hiji telepon tina kode OpenSSH anu sah. Nanging, éta ngagaduhan aliran pangendali anu henteu linier, sacara recursively nelepon fungsi ieu pikeun ngalakukeun subtask.

Panaliti mendakan yén klien jauh gaduh tilu pilihan pikeun nyambungkeun ka Kobalos:

  1. Muka port TCP sareng ngantosan konéksi anu lebet (kadang disebat "pintu pasip").
  2. Sambungkeun ka conto Kobalos anu sanés anu dikonpigurasi pikeun meta salaku sérver.
  3. Nyangka koneksi kana jasa sah anu parantos ngajalankeun, tapi asalna tina port sumber TCP khusus (inféksi ti server OpenSSH anu ngajalankeun).

sanajan aya sababaraha cara peretas tiasa ngahontal mesin anu kainféksi sareng Kobalos, cara na panglobana dianggo nyaéta nalika malware ditempelkeun dina sérver laksana OpenSSH sareng ngaktipkeun kode backdoor upami sambunganna tina port sumber TCP khusus.

Malware ogé énkripsi pangunjung ka sareng ti peretas, pikeun ngalakukeun ieu, peretas kedah dioténtikasi nganggo konci sareng kecap konci RSA-512. Konci na ngahasilkeun sareng énkripsi dua konci 16-bait anu énkripsi komunikasi nganggo énkripsi RC4.

Ogé, panto tukang tiasa ngalih komunikasi kana palabuhan anu sanés sareng bertindak salaku proksi pikeun ngahontal palayanan anu kompromi anu sanés.

Dibikeun dasar kode na anu alit (ngan 24 KB) sareng épéktipna, ESET nyatakeun yén sophistication of Kobalos "jarang ditingali dina malware Linux."

sumber: https://www.welivesecurity.com


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun. Widang diperlukeun téh ditandaan ku *

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.