Yakın zamanda yayınlanan bir raporda, "ESET" güvenlik araştırmacıları bir kötü amaçlı yazılımı analiz etti Öncelikle yüksek performanslı bilgisayarlar (HPC), üniversite ve araştırma ağı sunucularına yönelikti.
Tersine mühendislik kullanarak, yeni bir arka kapının dünyadaki süper bilgisayarları hedeflediğini keşfetti, genellikle OpenSSH yazılımının virüslü bir sürümünü kullanarak güvenli ağ bağlantıları için kimlik bilgilerini çalar.
“Linux, BSD ve Solaris dahil olmak üzere birçok işletim sistemi için taşınabilir olan bu küçük ama karmaşık kötü amaçlı yazılımı tersine mühendislik yaptık.
Tarama sırasında keşfedilen bazı yapılar, AIX ve Windows işletim sistemleri için de farklılıklar olabileceğini gösterir.
Bu kötü amaçlı yazılıma, kodunun küçük olması ve birçok hilesi nedeniyle Kobalos diyoruz ”,
“CERN'in bilgisayar güvenlik ekibi ve bilimsel araştırma ağlarına yapılan saldırılara karşı mücadelede yer alan diğer kuruluşlarla birlikte çalıştık. Onlara göre, Kobalos kötü amaçlı yazılımının kullanımı yenilikçidir "
OpenSSH (OpenBSD Secure Shell), SSH protokolünü kullanarak bir bilgisayar ağında güvenli iletişime izin veren bir dizi ücretsiz bilgisayar aracıdır. Bağlantı kaçırma ve diğer saldırıları ortadan kaldırmak için tüm trafiği şifreler. Ek olarak, OpenSSH, çeşitli kimlik doğrulama yöntemleri ve gelişmiş yapılandırma seçenekleri sunar.
Kobalos hakkında
Bu raporun yazarlarına göre, Kobalos, yalnızca HPC'leri hedef almıyor. Risk altındaki sistemlerin çoğu, akademi ve araştırmadaki süper bilgisayarlar ve sunucular, Asya'da bir İnternet sağlayıcısı, Kuzey Amerika'da bir güvenlik hizmeti sağlayıcısı ve bazı kişisel sunucular da bu tehdit nedeniyle tehlikeye girdi.
Kobalos genel bir arka kapıdır, hackerların niyetini ortaya çıkarmayan komutlar içerdiğinden, dosya sistemine uzaktan erişime izin verir, terminal oturumlarını açma yeteneği sunar ve proxy bağlantılarına izin verir Kobalos bulaşmış diğer sunuculara.
Kobalos tasarımı karmaşık olsa da işlevselliği sınırlıdır ve neredeyse tamamen arka kapıdan gizli erişimle ilgilidir.
Kötü amaçlı yazılım tamamen dağıtıldıktan sonra, tehlikeye atılan sistemin dosya sistemine erişim sağlar ve saldırganlara rastgele komutlar yürütme yeteneği sağlayan uzak bir terminale erişim sağlar.
Çalışma modu
Bir bakıma, kötü amaçlı yazılım, bir TCP bağlantı noktasını açan pasif bir implant görevi görür virüs bulaşmış bir makinede ve bir bilgisayar korsanından gelen bir bağlantı bekliyor. Başka bir mod, kötü amaçlı yazılımların hedef sunucuları, Kobalos bulaşmış diğer cihazların bağlandığı komuta ve kontrol (CoC) sunucularına dönüştürmesine izin verir. Virüs bulaşmış makineler, kötü amaçlı yazılımlar tarafından güvenliği ihlal edilmiş diğer sunuculara bağlanan proxy'ler olarak da kullanılabilir.
İlginç bir özellik Bu kötü amaçlı yazılımı ayıran şey, kodunuz tek bir işlevde toplanmıştır ve meşru OpenSSH kodundan yalnızca bir çağrı alırsınız. Bununla birlikte, doğrusal olmayan bir kontrol akışına sahiptir ve alt görevleri gerçekleştirmek için bu işlevi yinelemeli olarak çağırır.
Araştırmacılar, uzak istemcilerin Kobalos'a bağlanmak için üç seçeneğe sahip olduğunu buldu:
- Bir TCP bağlantı noktasını açmak ve gelen bir bağlantıyı beklemek (bazen "pasif arka kapı" olarak adlandırılır).
- Sunucu görevi görecek şekilde yapılandırılmış başka bir Kobalos örneğine bağlanın.
- Halihazırda çalışan, ancak belirli bir kaynak TCP bağlantı noktasından gelen meşru bir hizmete bağlantılar bekleyin (çalışan OpenSSH sunucusundan bulaşma).
Rağmen bilgisayar korsanlarının virüslü bir makineye ulaşmasının birkaç yolu vardır Kobalos ile yöntem en çok kullanılan, kötü amaçlı yazılımın sunucu yürütülebilir dosyasında gömülü olduğu zamandır OpenSSH ve bağlantı belirli bir TCP kaynak bağlantı noktasından geliyorsa arka kapı kodunu etkinleştirir.
Kötü amaçlı yazılım ayrıca bilgisayar korsanlarına giden ve gelen trafiği şifreler, bunu yapmak için bilgisayar korsanlarının bir RSA-512 anahtarı ve parolası ile kimlik doğrulaması gerekir. Anahtar, RC16 şifrelemesini kullanarak iletişimi şifreleyen iki 4 baytlık anahtar üretir ve şifreler.
Ayrıca, arka kapı iletişimi başka bir bağlantı noktasına geçirebilir ve diğer güvenliği ihlal edilmiş sunuculara ulaşmak için bir proxy görevi görebilir.
Küçük kod tabanı (yalnızca 24 KB) ve verimliliği göz önüne alındığında ESET, Kobalos'un karmaşıklığının "Linux kötü amaçlı yazılımlarında nadiren görüldüğünü" iddia ediyor.
kaynak: https://www.welivesecurity.com