Kobalos, một phần mềm độc hại đánh cắp thông tin đăng nhập SSH trên Linux, BSD và Solaris

Trong một báo cáo được xuất bản gần đây, Các nhà nghiên cứu bảo mật "ESET" đã phân tích một phần mềm độc hại Nó chủ yếu nhắm vào máy tính hiệu suất cao (HPC), máy chủ mạng của trường đại học và nghiên cứu.

Sử dụng kỹ thuật đảo ngược, phát hiện ra rằng một cửa sau mới nhắm mục tiêu vào các siêu máy tính trên khắp thế giới, thường đánh cắp thông tin xác thực cho các kết nối mạng an toàn bằng cách sử dụng phiên bản phần mềm OpenSSH bị nhiễm.

“Chúng tôi đã thiết kế ngược lại phần mềm độc hại nhỏ, nhưng phức tạp này, có thể di chuyển đến nhiều hệ điều hành, bao gồm Linux, BSD và Solaris.

Một số hiện vật được phát hiện trong quá trình quét chỉ ra rằng cũng có thể có các biến thể cho hệ điều hành AIX và Windows.

Chúng tôi gọi phần mềm độc hại này là Kobalos vì kích thước mã nhỏ và nhiều thủ thuật của nó ”, 

“Chúng tôi đã làm việc với đội bảo mật máy tính của CERN và các tổ chức khác liên quan đến cuộc chiến chống lại các cuộc tấn công vào mạng nghiên cứu khoa học. Theo họ, việc sử dụng phần mềm độc hại Kobalos là sáng tạo "

OpenSSH (OpenBSD Secure Shell) là một bộ công cụ máy tính miễn phí cho phép truyền thông an toàn trên mạng máy tính bằng giao thức SSH. Mã hóa tất cả lưu lượng truy cập để loại bỏ việc chiếm quyền điều khiển kết nối và các cuộc tấn công khác. Ngoài ra, OpenSSH cung cấp nhiều phương pháp xác thực khác nhau và các tùy chọn cấu hình phức tạp.

Về Kobalos

Theo các tác giả của báo cáo đó, Kobalos không chỉ nhắm vào HPCs. Mặc dù nhiều hệ thống bị xâm nhập đã siêu máy tính và máy chủ trong học thuật và nghiên cứu, một nhà cung cấp Internet ở châu Á, một nhà cung cấp dịch vụ bảo mật ở Bắc Mỹ, cũng như một số máy chủ cá nhân cũng bị xâm nhập bởi mối đe dọa này.

Kobalos là một backdoor chung, vì nó chứa các lệnh không tiết lộ ý định của tin tặc, ngoài ra cho phép truy cập từ xa vào hệ thống tệp, cung cấp khả năng mở các phiên đầu cuối và cho phép kết nối proxy tới các máy chủ khác bị nhiễm Kobalos.

Mặc dù thiết kế của Kobalos phức tạp nhưng chức năng của nó bị hạn chế và gần như hoàn toàn liên quan đến việc truy cập được che giấu qua cửa sau.

Sau khi được triển khai đầy đủ, phần mềm độc hại cấp quyền truy cập vào hệ thống tệp của hệ thống bị xâm nhập và cho phép truy cập vào một thiết bị đầu cuối từ xa cho phép kẻ tấn công thực hiện các lệnh tùy ý.

Chế độ hoạt động

Theo một cách nào đó, phần mềm độc hại hoạt động như một bộ phận cấy ghép thụ động mở ra một cổng TCP trên máy bị nhiễm và đang chờ kết nối đến từ tin tặc. Một chế độ khác cho phép phần mềm độc hại biến các máy chủ mục tiêu thành các máy chủ chỉ huy và kiểm soát (CoC) mà các thiết bị bị nhiễm Kobalos khác kết nối. Các máy bị nhiễm cũng có thể được sử dụng làm proxy kết nối với các máy chủ khác bị phần mềm độc hại xâm nhập.

Một tính năng thú vị Điều phân biệt phần mềm độc hại này là mã của bạn được đóng gói thành một chức năng duy nhất và bạn chỉ nhận được một cuộc gọi từ mã OpenSSH hợp pháp. Tuy nhiên, nó có một luồng điều khiển phi tuyến tính, gọi một cách đệ quy hàm này để thực hiện các nhiệm vụ con.

Các nhà nghiên cứu nhận thấy rằng khách hàng từ xa có ba tùy chọn để kết nối với Kobalos:

  1. Mở cổng TCP và đợi kết nối đến (đôi khi được gọi là "cửa sau thụ động").
  2. Kết nối với một phiên bản Kobalos khác được định cấu hình để phục vụ như một máy chủ.
  3. Mong đợi các kết nối đến một dịch vụ hợp pháp đang chạy, nhưng đến từ một cổng TCP nguồn cụ thể (đang chạy nhiễm máy chủ OpenSSH).

Mặc dù có một số cách tin tặc có thể tiếp cận máy bị nhiễm với Kobalos, phương pháp được sử dụng nhiều nhất là khi phần mềm độc hại được nhúng trong tệp thực thi của máy chủ OpenSSH và kích hoạt mã backdoor nếu kết nối đến từ một cổng nguồn TCP cụ thể.

Phần mềm độc hại cũng mã hóa lưu lượng truy cập đến và đi của tin tặc, để làm được điều này, tin tặc phải xác thực bằng khóa và mật khẩu RSA-512. Khóa tạo và mã hóa hai khóa 16 byte mã hóa giao tiếp bằng mã hóa RC4.

Ngoài ra, backdoor có thể chuyển giao tiếp sang một cổng khác và hoạt động như một proxy để truy cập các máy chủ bị xâm phạm khác.

Với cơ sở mã nhỏ (chỉ 24 KB) và hiệu quả của nó, ESET tuyên bố rằng sự tinh vi của Kobalos là "hiếm thấy trong phần mềm độc hại Linux".

Fuente: https://www.welivesecurity.com


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.