Kobalos, un malware que roba las credenciales SSH en Linux, BSD y Solaris

சமீபத்தில் வெளியிடப்பட்ட அறிக்கையில், "ESET" பாதுகாப்பு ஆராய்ச்சியாளர்கள் தீம்பொருளை பகுப்பாய்வு செய்தனர் இது முதன்மையாக உயர் செயல்திறன் கொண்ட கணினிகள் (HPC), பல்கலைக்கழகம் மற்றும் ஆராய்ச்சி நெட்வொர்க் சேவையகங்களை இலக்காகக் கொண்டது.

தலைகீழ் பொறியியல் பயன்படுத்தி, ஒரு புதிய கதவு உலகெங்கிலும் உள்ள சூப்பர் கம்ப்யூட்டர்களை குறிவைக்கிறது என்று கண்டுபிடிக்கப்பட்டது, பெரும்பாலும் OpenSSH மென்பொருளின் பாதிக்கப்பட்ட பதிப்பைப் பயன்படுத்தி பாதுகாப்பான பிணைய இணைப்புகளுக்கான சான்றுகளை திருடுவது.

லினக்ஸ், பி.எஸ்.டி மற்றும் சோலாரிஸ் உள்ளிட்ட பல இயக்க முறைமைகளுக்கு சிறியதாக இருக்கும் இந்த சிறிய, ஆனால் சிக்கலான தீம்பொருளை நாங்கள் தலைகீழ் வடிவமைத்தோம்.

ஸ்கேன் போது கண்டுபிடிக்கப்பட்ட சில கலைப்பொருட்கள் AIX மற்றும் விண்டோஸ் இயக்க முறைமைகளுக்கும் மாறுபாடுகள் இருக்கலாம் என்பதைக் குறிக்கின்றன.

இந்த தீம்பொருளை அதன் குறியீட்டின் சிறிய அளவு மற்றும் பல தந்திரங்களால் நாங்கள் கோபலோஸ் என்று அழைக்கிறோம் ”,

"நாங்கள் CERN இன் கணினி பாதுகாப்பு குழு மற்றும் விஞ்ஞான ஆராய்ச்சி நெட்வொர்க்குகள் மீதான தாக்குதல்களுக்கு எதிரான போராட்டத்தில் ஈடுபட்டுள்ள பிற அமைப்புகளுடன் இணைந்து பணியாற்றியுள்ளோம். அவர்களைப் பொறுத்தவரை, கோபலோஸ் தீம்பொருளின் பயன்பாடு புதுமையானது "

OpenSSH (OpenBSD Secure Shell) என்பது SSH நெறிமுறையைப் பயன்படுத்தி கணினி வலையமைப்பில் பாதுகாப்பான தகவல்தொடர்புகளை அனுமதிக்கும் இலவச கணினி கருவிகளின் தொகுப்பாகும். இணைப்பு கடத்தல் மற்றும் பிற தாக்குதல்களை அகற்ற அனைத்து போக்குவரத்தையும் குறியாக்குகிறது. கூடுதலாக, OpenSSH பல்வேறு அங்கீகார முறைகள் மற்றும் அதிநவீன உள்ளமைவு விருப்பங்களை வழங்குகிறது.

கோபலோஸ் பற்றி

அந்த அறிக்கையின் ஆசிரியர்களின் கூற்றுப்படி, கோபலோஸ் பிரத்தியேகமாக HPC களை குறிவைக்கவில்லை. சமரசம் செய்யப்பட்ட பல அமைப்புகள் இருந்தபோதிலும் கல்வி மற்றும் ஆராய்ச்சியில் சூப்பர் கம்ப்யூட்டர்கள் மற்றும் சேவையகங்கள், ஆசியாவில் ஒரு இணைய வழங்குநர், வட அமெரிக்காவில் பாதுகாப்பு சேவை வழங்குநர் மற்றும் சில தனிப்பட்ட சேவையகங்களும் இந்த அச்சுறுத்தலால் சமரசம் செய்யப்பட்டன.

கோபலோஸ் ஒரு பொதுவான கதவு, கூடுதலாக, ஹேக்கர்களின் நோக்கத்தை வெளிப்படுத்தாத கட்டளைகளை இது கொண்டுள்ளது கோப்பு முறைமைக்கு தொலைநிலை அணுகலை அனுமதிக்கிறது, முனைய அமர்வுகளைத் திறக்கும் திறனை வழங்குகிறது மற்றும் ப்ராக்ஸி இணைப்புகளை அனுமதிக்கிறது கோபலோஸால் பாதிக்கப்பட்ட பிற சேவையகங்களுக்கு.

கோபாலோஸ் வடிவமைப்பு சிக்கலானது என்றாலும், அதன் செயல்பாடு குறைவாகவே உள்ளது மற்றும் பின்புற கதவு வழியாக மறைக்கப்பட்ட அணுகலுடன் கிட்டத்தட்ட முற்றிலும் தொடர்புடையது.

முழுமையாக செயல்படுத்தப்பட்டதும், தீம்பொருள் சமரசம் செய்யப்பட்ட கணினியின் கோப்பு முறைமைக்கு அணுகலை வழங்குகிறது மற்றும் தொலைநிலை முனையத்தை அணுக அனுமதிக்கிறது, இது தாக்குபவர்களுக்கு தன்னிச்சையான கட்டளைகளை செயல்படுத்தும் திறனை வழங்குகிறது.

இயக்க முறைமை

ஒரு வகையில், தீம்பொருள் ஒரு TCP போர்ட்டைத் திறக்கும் செயலற்ற உள்வைப்பாக செயல்படுகிறது பாதிக்கப்பட்ட கணினியில் மற்றும் ஹேக்கரிடமிருந்து உள்வரும் இணைப்பிற்காக காத்திருக்கிறது. மற்றொரு பயன்முறை தீம்பொருளை இலக்கு சேவையகங்களை கட்டளை மற்றும் கட்டுப்பாட்டு (CoC) சேவையகங்களாக மாற்ற அனுமதிக்கிறது, அவை மற்ற கோபாலோஸ் பாதிக்கப்பட்ட சாதனங்களை இணைக்கின்றன. தீம்பொருளால் சமரசம் செய்யப்பட்ட பிற சேவையகங்களுடன் இணைக்கும் ப்ராக்ஸிகளாகவும் பாதிக்கப்பட்ட இயந்திரங்களைப் பயன்படுத்தலாம்.

ஒரு சுவாரஸ்யமான அம்சம் இந்த தீம்பொருளை வேறுபடுத்துவது அதுதான் உங்கள் குறியீடு ஒற்றை செயல்பாட்டில் நிரம்பியுள்ளது, மேலும் முறையான OpenSSH குறியீட்டிலிருந்து ஒரு அழைப்பை மட்டுமே பெறுவீர்கள். இருப்பினும், இது ஒரு நேரியல் அல்லாத கட்டுப்பாட்டு ஓட்டத்தைக் கொண்டுள்ளது, இந்த செயல்பாட்டை துணை பணிகளைச் செய்ய மீண்டும் மீண்டும் அழைக்கிறது.

கோபாலோஸுடன் இணைக்க தொலைநிலை வாடிக்கையாளர்களுக்கு மூன்று விருப்பங்கள் இருப்பதாக ஆராய்ச்சியாளர்கள் கண்டறிந்தனர்:

ஒரு TCP போர்ட்டைத் திறந்து உள்வரும் இணைப்புக்காகக் காத்திருக்கிறது (சில நேரங்களில் "செயலற்ற பின்னணி" என்று அழைக்கப்படுகிறது).
சேவையகமாக பணியாற்ற கட்டமைக்கப்பட்ட மற்றொரு கோபலோஸ் உதாரணத்துடன் இணைக்கவும்.
ஏற்கனவே இயங்கும் ஒரு நியாயமான சேவைக்கான இணைப்புகளை எதிர்பார்க்கலாம், ஆனால் ஒரு குறிப்பிட்ட மூல TCP போர்ட்டிலிருந்து வருகிறது (OpenSSH சேவையக தொற்று இயங்கும்).

என்றாலும் பாதிக்கப்பட்ட இயந்திரத்தை ஹேக்கர்கள் அடைய பல வழிகள் உள்ளன கோபலோஸுடன், முறை தீம்பொருள் சேவையகத்தில் இயங்கக்கூடியதாக இருக்கும் போது அதிகம் பயன்படுத்தப்படுகிறது இணைப்பு ஒரு குறிப்பிட்ட டி.சி.பி மூல போர்ட்டிலிருந்து வந்தால், திறந்த எஸ்.எஸ்.எச் மற்றும் கதவு குறியீட்டை செயல்படுத்துகிறது.

தீம்பொருள் ஹேக்கர்களிடமிருந்து மற்றும் போக்குவரத்தை குறியாக்குகிறது, இதைச் செய்ய, ஹேக்கர்கள் RSA-512 விசை மற்றும் கடவுச்சொல் மூலம் அங்கீகரிக்க வேண்டும். விசையானது இரண்டு 16-பைட் விசைகளை உருவாக்கி குறியாக்குகிறது, இது RC4 குறியாக்கத்தைப் பயன்படுத்தி தகவல்தொடர்புகளை குறியாக்குகிறது.

மேலும், கதவு மற்றொரு துறைமுகத்திற்கு தகவல்தொடர்புகளை மாற்றலாம் மற்றும் பிற சமரச சேவையகங்களை அடைய ப்ராக்ஸியாக செயல்படலாம்.

அதன் சிறிய குறியீடு தளத்தையும் (24 KB மட்டுமே) மற்றும் அதன் செயல்திறனையும் கருத்தில் கொண்டு, கோபலோஸின் நுட்பமானது "லினக்ஸ் தீம்பொருளில் அரிதாகவே காணப்படுகிறது" என்று ESET கூறுகிறது.

மூல: https://www.welivesecurity.com

கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

கருத்து *

பெயர்*

மின்னணு அஞ்சல்*

நான் ஏற்றுக்கொள்கிறேன் தனியுரிமை விதிமுறைகள்*

தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.

செய்திமடலைப் பெற விரும்புகிறேன்

DesdeLinux

லினக்ஸ், பி.எஸ்.டி மற்றும் சோலாரிஸில் எஸ்.எஸ்.எச் சான்றுகளை திருடும் தீம்பொருள் கோபாலோஸ்

கோபலோஸ் பற்றி

இயக்க முறைமை

உங்கள் கருத்தை தெரிவிக்கவும்

கோபலோஸ் பற்றி

இயக்க முறைமை

உங்கள் கருத்தை தெரிவிக்கவும் பதிலை ரத்துசெய்

உங்கள் கருத்தை தெரிவிக்கவும்