Sa isang kamakailang nai-publish na ulat, Sinuri ng mga mananaliksik na "ESET" ang isang malware Pangunahin nitong naglalayon sa mga computer na may mataas na pagganap (HPC), unibersidad at mga server ng network ng pagsasaliksik.
Paggamit ng reverse engineering, natuklasan na ang isang bagong backdoor target ang mga supercomputer sa buong mundo, madalas na nagnanakaw ng mga kredensyal para sa mga ligtas na koneksyon sa network gamit ang isang nahawahan na bersyon ng OpenSSH software.
"Binaliktad namin ang maliit, ngunit kumplikadong malware, na kung saan ay portable sa maraming mga operating system, kabilang ang Linux, BSD, at Solaris.
Ang ilang mga artifact na natuklasan sa panahon ng pag-scan ay nagpapahiwatig na maaaring mayroon ding mga pagkakaiba-iba para sa mga operating system ng AIX at Windows.
Tinawag namin itong malware na Kobalos dahil sa maliit na sukat ng code nito at maraming mga trick ”,
"Nakipagtulungan kami sa koponan ng seguridad ng computer ng CERN at iba pang mga samahan na kasangkot sa paglaban sa mga pag-atake sa mga network ng siyentipikong pananaliksik. Ayon sa kanila, ang paggamit ng Kobalos malware ay makabago "
Ang OpenSSH (OpenBSD Secure Shell) ay isang hanay ng mga libreng tool sa computer na nagpapahintulot sa mga ligtas na komunikasyon sa isang computer network gamit ang SSH protocol. Ina-encrypt ang lahat ng trapiko upang matanggal ang pag-hijack sa koneksyon at iba pang mga pag-atake. Bilang karagdagan, nagbibigay ang OpenSSH ng iba't ibang mga pamamaraan ng pagpapatotoo at sopistikadong mga pagpipilian sa pagsasaayos.
Tungkol kay Kobalos
Ayon sa mga may-akda ng ulat na iyon, Ang Kobalos ay hindi eksklusibong tina-target ang mga HPC. Bagaman marami sa mga nakompromiso na sistema ay mga supercomputer at server sa akademya at pananaliksik, isang Internet provider sa Asya, isang security service provider sa Hilagang Amerika, pati na rin ang ilang mga personal na server ay nakompromiso din ng banta na ito.
Ang Kobalos ay isang pangkaraniwang likuran, dahil naglalaman ito ng mga utos na hindi isiwalat ang hangarin ng mga hacker, bilang karagdagan sa Pinapayagan ang malayuang pag-access sa file system, nag-aalok ng kakayahang buksan ang mga session ng terminal at pinapayagan ang mga koneksyon ng proxy sa iba pang mga server na nahawahan ng Kobalos.
Bagaman kumplikado ang disenyo ng Kobalos, limitado ang pagpapaandar nito at halos ganap na nauugnay sa lingid na pag-access sa pamamagitan ng pintuan sa likuran.
Sa sandaling ganap na naipatupad, binibigyan ng malware ang pag-access sa file system ng nakompromiso na sistema at pinapayagan ang pag-access sa isang remote terminal na nagbibigay sa mga umaatake ng kakayahang magpatupad ng di-makatwirang mga utos.
Mode ng pagpapatakbo
Sa isang paraan, kumikilos ang malware bilang isang passive implant na magbubukas ng isang TCP port sa isang nahawaang makina at naghihintay para sa isang papasok na koneksyon mula sa isang hacker. Pinapayagan ng isa pang mode ang malware na gawing mga command at control (CoC) server ang mga target na server kung saan kumonekta ang iba pang mga aparatong nahawahan ng Kobalos. Ang mga nahawaang makina ay maaari ding gamitin bilang mga proxy na kumokonekta sa iba pang mga server na nakompromiso ng malware.
Isang kagiliw-giliw na tampok Ang nakikilala sa malware na ito ay iyon ang iyong code ay naka-pack sa isang solong pag-andar at makakatanggap ka lamang ng isang tawag mula sa lehitimong OpenSSH code. Gayunpaman, mayroon itong isang hindi linear na daloy ng kontrol, recursively pagtawag sa pagpapaandar na ito upang magsagawa ng mga subtask.
Nalaman ng mga mananaliksik na ang mga malalayong kliyente ay may tatlong mga pagpipilian para sa pagkonekta sa Kobalos:
- Buksan ang isang TCP port at maghintay para sa isang papasok na koneksyon (kung minsan ay tinatawag na "passive backdoor").
- Kumonekta sa isa pang halimbawa ng Kobalos na na-configure upang maglingkod bilang isang server.
- Asahan ang mga koneksyon sa isang lehitimong serbisyo na tumatakbo na, ngunit nagmumula sa isang tukoy na mapagkukunang TCP port (tumatakbo ang impeksyong OpenSSH server).
Bagaman maraming paraan na maaabot ng mga hacker ang isang nahawaang makina kasama si Kobalos, ang pamamaraan ang pinaka ginamit ay kapag ang malware ay naka-embed sa server maipatupad OpenSSH at pinapagana ang backdoor code kung ang koneksyon ay mula sa isang tukoy na port ng pinagmulan ng TCP.
Ang malware ay naka-encrypt din ng trapiko patungo at mula sa mga hacker, upang magawa ito, dapat na patunayan ng mga hacker ang isang RSA-512 key at password. Bumubuo at naka-encrypt ang susi ng dalawang 16-byte na key na naka-encrypt ang komunikasyon gamit ang RC4 na naka-encrypt.
Gayundin, maaaring ilipat ng backdoor ang komunikasyon sa ibang port at kumilos bilang isang proxy upang maabot ang iba pang mga nakompromiso na server.
Dahil sa maliit na base code nito (24 KB lamang) at kahusayan nito, inaangkin ng ESET na ang pagiging sopistikado ng Kobalos ay "bihirang makita sa Linux malware".
Fuente: https://www.welivesecurity.com