Kobalos, אַ מאַלוואַרע וואָס סטילז SSH קראַדענשאַלז אויף לינוקס, BSD און Solaris

אין אַ לעצטנס ארויס פּובליק "ESET" זיכערהייט פארשער האבן אנאליזירט א מאלווער עס איז געווען דער הויפּט אַימעד צו הויך-פאָרשטעלונג קאָמפּיוטערס (HPC), אוניווערסיטעט און פאָרשונג נעץ סערווערס.

ניצן פאַרקערט אינזשעניריע, דיסקאַווערד אַז אַ נייַ באַקדאָר טאַרגאַץ סופּערקאַמפּיוטערז אַרום די וועלט, אָפט סטילינג קראַדענשאַלז פֿאַר זיכער נעץ קאַנעקשאַנז ניצן אַן ינפעקטאַד ווערסיע פון ​​די OpenSSH ווייכווארג.

"מיר האָבן פאַרקערט ענדזשאַנירד דעם קליין, אָבער קאָמפּלעקס מאַלוואַרע, וואָס איז פּאָרטאַטיוו צו פילע אַפּערייטינג סיסטעמען, אַרייַנגערעכנט לינוקס, בסד און סאָלאַריס.

עטלעכע אַרטאַפאַקץ דיסקאַווערד בעשאַס די יבערקוקן אָנווייַזן אַז עס קען אויך זיין ווערייישאַנז פֿאַר AIX און Windows אַפּערייטינג סיסטעמס.

מיר רופן דעם מאַלוואַרע קאָבאַלאָס ווייַל פון די קליין גרייס פון זייַן קאָד און די פילע טריקס ", 

מיר האָבן געארבעט מיט CERN ס קאָמפּיוטער זיכערהייט מאַנשאַפֿט און אנדערע אָרגאַנאַזיישאַנז ינוואַלווד אין דעם קאַמף קעגן אנפאלן אויף וויסנשאפטלעכע פאָרשונג נעטוואָרקס. לויט צו זיי, די נוצן פון קאָבאַלאָס מאַלוואַרע איז ינאַווייטיוו "

OpenSSH (OpenBSD Secure Shell) איז אַ סכום פון פריי קאָמפּיוטער מכשירים וואָס לאָזן זיכער קאָמוניקאַציע אויף אַ קאָמפּיוטער נעץ ניצן די SSH פּראָטאָקאָל. ענקריפּץ אַלע פאַרקער צו עלימינירן פֿאַרבינדונג כיידזשאַקינג און אנדערע אנפאלן. אין אַדישאַן, OpenSSH אָפפערס פאַרשידן אָטענטאַקיישאַן מעטהאָדס און סאַפיסטיקייטאַד קאַנפיגיעריישאַן אָפּציעס.

וועגן קאָבאַלאָס

לויט די מחברים פון דעם באַריכט, Kobalos איז ניט אויסשליסלעך טאַרגאַטינג אויף HPCs. כאָטש פילע קאַמפּראַמייזד סיסטעמען זענען סופּערקאַמפּיוטערז און סערווערס אין אַקאַדעמיאַ און פאָרשונג, אַן אינטערנעץ שפּייַזער אין אזיע, אַ זיכערהייט דינען שפּייַזער אין צפון אַמעריקע, ווי געזונט ווי עטלעכע פּערזענלעך סערווערס זענען אויך קאַמפּראַמייזד דורך דעם סאַקאָנע.

Kobalos איז אַ דזשאַנעריק באַקדאָר, ווי עס כּולל קאַמאַנדז וואָס טאָן ניט אַנטדעקן די כוונה פון די כאַקערז, אין אַדישאַן צו אַלאַוז ווייַט אַקסעס צו די טעקע סיסטעם, אָפפערס די פיייקייט צו עפענען וואָקזאַל סעשאַנז און אַלאַוז פּראַקסי קאַנעקשאַנז צו אנדערע סערווערס ינפעקטאַד מיט Kobalos.

כאָטש די קאָבאַלאָס פּלאַן איז קאָמפּלעקס, די פאַנגקשאַנאַליטי איז לימיטעד און כּמעט לעגאַמרע שייַכות צו פאַרבאָרגן אַקסעס דורך אַ צוריק טיר.

אַמאָל גאָר דיפּלויד, די מאַלוואַרע גיט אַקסעס צו די טעקע סיסטעם פון די קאַמפּראַמייזד סיסטעם און אַלאַוז אַקסעס צו אַ ווייַט וואָקזאַל וואָס גיט אַטאַקערז די פיייקייט צו דורכפירן אַרביטראַריש קאַמאַנדז.

אַפּערייטינג מאָדע

אין א וועג, די מאַלוואַרע אַקץ ווי אַ פּאַסיוו ייַנפלאַנצן וואָס אָפּענס אַ טקפּ פּאָרט אויף אַ ינפעקטאַד מאַשין און ווארטן פֿאַר אַ ינקאַמינג פֿאַרבינדונג פֿון אַ העקער. אן אנדער מאָדע אַלאַוז מאַלוואַרע צו מאַכן ציל סערווערס צו באַפֿעלן און קאָנטראָל (CoC) סערווערס וואָס אנדערע Kobalos ינפעקטאַד דעוויסעס פאַרבינדן. ינפעקטאַד מאשינען קענען אויך זיין געוויינט ווי פּראַקסיז קאַנעקטינג צו אנדערע סערווערס קאַמפּראַמייזד דורך מאַלוואַרע.

אַ טשיקאַווע שטריך וואָס דיסטינגגווישיז דעם מאַלוואַרע איז אַז דיין קאָד איז פּאַקט אין אַ איין פונקציע און איר נאָר באַקומען איין רוף פֿון די לאַדזשיטאַמאַט OpenSSH קאָד. אָבער, עס האט אַ ניט-לינעאַר לויפן פון קאָנטראָל, רעקורסיוועלי פאַך דעם פֿונקציע צו דורכפירן סובטאַסקס.

די ריסערטשערז געפֿונען אַז ווייַט קלייאַנץ האָבן דריי אָפּציעס צו פאַרבינדן צו קאָבאַלאָס:

  1. עפן אַ TCP פּאָרט און וואַרטן פֿאַר אַ ינקאַמינג פֿאַרבינדונג (מאל גערופן אַ "פּאַסיוו באַקדאָר").
  2. פאַרבינדן צו אן אנדער קאָבאַלאָס בייַשפּיל קאַנפיגיערד צו דינען ווי אַ סערווער.
  3. דערוואַרטן קאַנעקשאַנז צו אַ לאַדזשיטאַמאַט סערוויס וואָס איז שוין פליסנדיק, אָבער קומט פון אַ ספּעציפיש מקור טקפּ פּאָרט (ינפעקציע פון ​​די פליסנדיק OpenSSH סערווער).

כאָטש עס זענען עטלעכע וועגן ווי כאַקערז קענען דערגרייכן אַן ינפעקטאַד מאַשין מיט Kobalos, דער אופֿן מערסט געוויינט איז ווען די מאַלוואַרע איז עמבעדיד אין די סערווער עקסעקוטאַבלע אָפּענסש און אַקטאַווייץ די באַקדאָר קאָד אויב די קשר איז פֿון אַ ספּעציפיש טקפּ מקור פּאָרט.

מאַלוואַרע אויך ענקריפּץ פאַרקער צו און פֿון כאַקערז. צו טאָן דאָס, כאַקערז מוזן אָטענטאַקייט מיט אַ RSA-512 שליסל און שפּריכוואָרט. דער שליסל דזשענערייץ און ענקריפּץ צוויי 16-בייט שליסלען וואָס ינקריפּט די קאָמוניקאַציע ניצן רק 4 ענקריפּשאַן.

די באַקדאָר קענען אויך באַשטימען קאָמוניקאַציע צו אן אנדער פּאָרט און פירן ווי אַ פּראַקסי צו דערגרייכן אנדערע קאַמפּראַמייזד סערווערס.

מיט די קליין קאָד באַזע (בלויז 24 קילאבייט) און די עפעקטיווקייַט, עסעט קליימז אַז די סאַפיסטאַקיישאַן פון קאָבאַלאָס "איז ראַרעלי געזען אין לינוקס מאַלוואַרע."

מקור: https://www.welivesecurity.com


דער אינהאַלט פון דעם אַרטיקל אַדכיר צו אונדזער פּרינציפּן פון לייט עטיקס. צו מעלדונג אַ טעות גיט דאָ.

זייט דער ערשטער צו באַמערקן

לאָזן דיין באַמערקונג

אייער בליצפּאָסט אַדרעס וועט נישט זייַן ארויס. Required fields זענען אנגעצייכנט מיט *

*

*

  1. פאַראַנטוואָרטלעך פֿאַר די דאַטן: Miguel Ángel Gatón
  2. ציל פון די דאַטן: קאָנטראָל ספּאַם, קאָמענטאַר פאַרוואַלטונג.
  3. לעגיטימאַטיאָן: דיין צושטימען
  4. קאָמוניקאַציע פון ​​די דאַטן: די דאַטן וועט נישט זיין קאַמיונאַקייטיד צו דריט פּאַרטיעס אַחוץ דורך לעגאַל פליכט.
  5. דאַטן סטאָרידזש: דאַטאַבייס כאָוסטיד דורך Occentus Networks (EU)
  6. רעכט: צו קיין צייט איר קענט באַגרענעצן, צוריקקריגן און ויסמעקן דיין אינפֿאָרמאַציע.