Linux, BSD va Solaris-da SSH hisob ma'lumotlarini o'g'irlaydigan zararli dastur Kobalos

Yaqinda chop etilgan hisobotda, "ESET" xavfsizlik tadqiqotchilari zararli dasturni tahlil qildilar Bu, birinchi navbatda, yuqori mahsuldorlikka ega kompyuterlar (HPC), universitet va tadqiqot tarmoqlari serverlariga qaratilgan edi.

Teskari muhandislikdan foydalangan holda, yangi orqa eshik butun dunyo bo'ylab superkompyuterlarga mo'ljallanganligini aniqladi, ko'pincha OpenSSH dasturining yuqtirilgan versiyasidan foydalangan holda xavfsiz tarmoq ulanishlari uchun hisob ma'lumotlarini o'g'irlash.

"Biz Linux, BSD va Solaris kabi ko'plab operatsion tizimlar uchun portativ bo'lgan ushbu kichik, ammo murakkab zararli dasturlarni teskari ishlab chiqdik.

Skanerlash paytida topilgan ba'zi artefaktlar AIX va Windows operatsion tizimlarida ham o'zgarishlar bo'lishi mumkinligini ko'rsatadi.

Kodning kichikligi va hiyla-nayranglari sababli biz ushbu zararli dasturni Kobalos deb ataymiz ", 

“Biz CERN kompyuter xavfsizligi guruhi va ilmiy tadqiqot tarmoqlariga hujumlarga qarshi kurashda ishtirok etadigan boshqa tashkilotlar bilan ishladik. Ularga ko'ra, Kobalos zararli dasturidan foydalanish innovatsion hisoblanadi "

OpenSSH (OpenBSD Secure Shell) - bu SSH protokoli yordamida kompyuter tarmog'ida xavfsiz aloqa o'rnatishga imkon beruvchi bepul kompyuter vositalari to'plami. Ulanishni olib qochish va boshqa hujumlarni bartaraf etish uchun barcha trafikni shifrlaydi. Bundan tashqari, OpenSSH turli xil autentifikatsiya usullari va murakkab konfiguratsiya parametrlarini taqdim etadi.

Kobalos haqida

Ushbu hisobot mualliflarining fikriga ko'ra, Kobalos nafaqat HPC-larga yo'naltirilgan. Garchi buzilgan tizimlarning ko'pi buzilgan bo'lsa ham akademik va tadqiqotlardagi superkompyuterlar va serverlar, ushbu tahdid tufayli Osiyodagi Internet-provayder, Shimoliy Amerikadagi xavfsizlik xizmati provayderi va ba'zi shaxsiy serverlar ham xavf ostida qolishdi.

Kobalos - bu umumiy orqa eshik, chunki unda qo'shimcha ravishda xakerlarning niyatini oshkor qilmaydigan buyruqlar mavjud fayl tizimiga masofadan kirish imkoniyatini beradi, terminal sessiyalarini ochish imkoniyatini beradi va proksi-ulanishlarga imkon beradi Kobalos bilan kasallangan boshqa serverlarga.

Kobalos dizayni murakkab bo'lsa-da, uning faoliyati cheklangan va deyarli butunlay orqa eshik orqali yashirin kirish bilan bog'liq.

To'liq joylashtirilganidan so'ng, zararli dastur buzilgan tizim fayl tizimiga kirish huquqini beradi va tajovuzkorlarga o'zboshimchalik bilan buyruqlarni bajarish imkoniyatini beradigan masofaviy terminalga kirish huquqini beradi.

Ishlash tartibi

Bir ma'noda, zararli dastur TCP portini ochadigan passiv implantatsiya vazifasini bajaradi yuqtirilgan mashinada va xakerdan kiruvchi ulanishni kutmoqda. Boshqa rejim zararli dasturlardan maqsadli serverlarni boshqa Kobalos bilan zararlangan qurilmalar ulanadigan buyruq va boshqaruv (CoC) serverlariga aylantirishga imkon beradi. Yuqtirilgan mashinalardan zararli dastur buzilgan boshqa serverlarga ulanuvchi proksi sifatida ham foydalanish mumkin.

Qiziqarli xususiyat Ushbu zararli dasturni ajratib turadigan narsa shu sizning kodingiz bitta funktsiyaga to'plangan va siz qonuniy OpenSSH kodidan faqat bitta qo'ng'iroqni olasiz. Shu bilan birga, u ushbu funktsiyani subtaskalarni bajarish uchun rekursiv ravishda chaqirib, chiziqli bo'lmagan boshqaruv oqimiga ega.

Tadqiqotchilar uzoq mijozlar Kobalosga ulanishning uchta variantini topdilar:

  1. TCP portini oching va kiruvchi ulanishni kuting (ba'zan "passiv orqa eshik" deb nomlanadi).
  2. Server sifatida xizmat qilish uchun tuzilgan boshqa Kobalos namunasiga ulaning.
  3. Ishlayotgan, lekin ma'lum bir manbali TCP portidan (OpenSSH server infektsiyasi ishlayotgan) qonuniy xizmatga ulanishlarni kuting.

Garchi xakerlar yuqtirilgan mashinaga etib borishning bir necha yo'li mavjud Kobalos bilan, usul eng ko'p ishlatiladigan zararli dastur serverga bajariladigan dasturga o'rnatilganda OpenSSH va ulanish ma'lum bir TCP manba portidan bo'lsa, orqa eshik kodini faollashtiradi.

Zararli dastur shuningdek, xakerlarga va undan kelgan trafikni shifrlaydi, buning uchun xakerlar RSA-512 kaliti va parol bilan autentifikatsiya qilishlari kerak. Kalit RC16 shifrlash yordamida aloqani shifrlaydigan ikkita 4 baytli ikkita kalitni hosil qiladi va shifrlaydi.

Shuningdek, orqa eshik aloqani boshqa portga o'zgartirishi va boshqa buzilgan serverlarga kirish uchun proksi sifatida ishlashi mumkin.

ESET o'zining kichik kod bazasini (atigi 24 KB) va uning samaradorligini hisobga olib, Kobalosning murakkabligi "Linux zararli dasturida kamdan-kam ko'rinishini" da'vo qilmoqda.

Manba: https://www.welivesecurity.com


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.