У нещодавно опублікованому звіті, Дослідники безпеки "ESET" проаналізували шкідливе програмне забезпечення В першу чергу він був спрямований на високопродуктивні комп’ютери (HPC), університетські та дослідницькі мережеві сервери.
Використовуючи зворотне проектування, виявив, що новий бекдор націлений на суперкомп'ютери у всьому світі, часто викрадаючи облікові дані для безпечних мережевих з'єднань за допомогою зараженої версії програмного забезпечення OpenSSH.
«Ми здійснили реконструкцію цього невеликого, але складного шкідливого програмного забезпечення, яке переноситься на багато операційних систем, включаючи Linux, BSD та Solaris.
Деякі артефакти, виявлені під час сканування, вказують на те, що можуть існувати також зміни в операційних системах AIX та Windows.
Ми називаємо це зловмисне програмне забезпечення Kobalos через невеликий розмір його коду та безліч хитрощів ”,
«Ми співпрацювали з командою комп’ютерної безпеки ЦЕРНу та іншими організаціями, які беруть участь у боротьбі з нападами на науково-дослідні мережі. На їх думку, використання шкідливих програм Kobalos є інноваційним "
OpenSSH (OpenBSD Secure Shell) - це набір безкоштовних комп’ютерних інструментів, що дозволяють захищати комунікації в комп’ютерній мережі за допомогою протоколу SSH. Шифрує весь трафік для усунення викрадення з’єднання та інших атак. Крім того, OpenSSH пропонує різні методи автентифікації та складні параметри конфігурації.
Про Кобалоса
За словами авторів цього звіту, "Кобалос" не націлений виключно на ВПЧ. Хоча багато компрометованих систем були суперкомп'ютери та сервери в наукових колах та дослідженнях, Інтернет-провайдер в Азії, постачальник послуг безпеки в Північній Америці, а також деякі персональні сервери також були скомпрометовані цією загрозою.
Кобалос - загальний бекдор, оскільки він містить команди, які не виявляють наміру хакерів, окрім дозволяє віддалений доступ до файлової системи, пропонує можливість відкривати сеанси терміналу та дозволяє з'єднання через проксі на інші сервери, заражені Kobalos.
Хоча дизайн Kobalos складний, його функціональність обмежена і майже повністю пов’язаний із прихованим доступом через чорні двері.
Після повного розгортання зловмисне програмне забезпечення надає доступ до пошкодженої файлової системи та надає доступ до віддаленого терміналу, який надає зловмисникам можливість виконувати довільні команди.
Режим роботи
В певному сенсі, шкідливе програмне забезпечення діє як пасивний імплантат, який відкриває порт TCP на зараженій машині та чекає вхідного з'єднання від хакера. Інший режим дозволяє зловмисному програмному забезпеченню перетворювати цільові сервери на сервери управління та управління (CoC), до яких підключаються інші заражені Кобалосом пристрої. Заражені машини також можна використовувати як проксі-сервери, що підключаються до інших серверів, скомпрометованих шкідливим програмним забезпеченням.
Цікава особливість Що відрізняє цю шкідливу програму, це те, що ваш код упакований в єдину функцію, і ви отримуєте лише один дзвінок із законного коду OpenSSH. Однак він має нелінійний потік управління, який рекурсивно викликає цю функцію для виконання підзадач.
Дослідники виявили, що віддалені клієнти мають три варіанти підключення до Кобалоса:
- Відкриття TCP-порту та очікування вхідного з'єднання (іноді його називають "пасивним бекдором").
- Підключіться до іншого екземпляра Kobalos, налаштованого на роль сервера.
- Очікуйте підключення до законної служби, яка вже запущена, але надходить із певного вихідного порту TCP (зараження від запущеного сервера OpenSSH).
Хоча хакери можуть дістати кілька заражених машин з Кобалосом, метод Найчастіше використовується, коли шкідливе програмне забезпечення вбудоване у виконуваний файл сервера OpenSSH і активує бэкдор-код, якщо підключення здійснюється через певний вихідний порт TCP.
Шкідливе програмне забезпечення також шифрує трафік до та від хакерів, для цього хакери повинні пройти автентифікацію за допомогою ключа RSA-512 та пароля. Ключ генерує та шифрує два 16-байтові ключі, які шифрують зв'язок за допомогою шифрування RC4.
Крім того, бекдор може переключити зв'язок на інший порт і діяти як проксі-сервер для доступу до інших скомпрометованих серверів.
Враховуючи невелику базу коду (всього 24 КБ) та ефективність, ESET стверджує, що витонченість Kobalos "рідко зустрічається у зловмисних програм Linux".
Фуенте: https://www.welivesecurity.com