Kobalos, un malware que roba las credenciales SSH en Linux, BSD y Solaris
En un informe publicado recientemente, los investigadores de seguridad de «ESET» analizaron un malware que se dirigía principalmente a las computadoras de alto rendimiento (HPC), de universidades y servidores de redes de investigación.
Usando ingeniería inversa, descubrieron que un nuevo backdoor apunta a supercomputadoras de todo el mundo, a menudo robando credenciales para conexiones de red seguras utilizando una versión infectada del software OpenSSH.
“Realizamos ingeniería inversa para este malware pequeño, pero complejo, que es portátil para muchos sistemas operativos, incluidos Linux, BSD y Solaris.
Algunos artefactos descubiertos durante la exploración indican que también puede haber variaciones para los sistemas operativos AIX y Windows.
Llamamos a este malware Kobalos por el pequeño tamaño de su código y sus muchos trucos ”,
“Hemos trabajado con el equipo de seguridad informática del CERN y otras organizaciones involucradas en la lucha contra los ataques a las redes de investigación científica. Según ellos, el uso del malware Kobalos es innovador ”
OpenSSH (OpenBSD Secure Shell) es un conjunto de herramientas informáticas gratuitas que permiten comunicaciones seguras en una red informática utilizando el protocolo SSH. Cifra todo el tráfico para eliminar el secuestro de conexiones y otros ataques. Además, OpenSSH proporciona varios métodos de autenticación y opciones de configuración sofisticadas.
Sobre Kobalos
Según los autores de ese informe, Kobalos no se dirige exclusivamente a las HPC. Aunque muchos de los sistemas comprometidos eran supercomputadoras y servidores en la academia y la investigación, un proveedor de Internet en Asia, un proveedor de servicios de seguridad de América del Norte, así como algunos servidores personales, también se vieron comprometidos por esta amenaza.
Kobalos es un backdoor genérico, ya que contiene comandos que no revelan la intención de los hackers, además de que permite el acceso remoto al sistema de archivos, ofrece la posibilidad de abrir sesiones de terminal y permite conexiones proxy a otros servidores infectados con Kobalos.
Aunque el diseño de Kobalos es complejo, su funcionalidad es limitada y casi en su totalidad relacionada con el acceso oculto por una puerta trasera.
Una vez implementado por completo, el malware otorga acceso al sistema de archivos del sistema comprometido y permite el acceso a una terminal remota que brinda a los atacantes la capacidad de ejecutar comandos arbitrarios.
Modo de funcionamiento
En un modo, el malware actúa como un implante pasivo que abre un puerto TCP en una máquina infectada y espera una conexión entrante de un hacker. Otro modo permite que el malware convierta los servidores de destino en servidores de comando y control (CoC) a los que se conectan otros dispositivos infectados por Kobalos. Las máquinas infectadas también se pueden utilizar como proxy que se conectan a otros servidores comprometidos por el malware.
Una característica interesante que distingue a este malware es que su código está empaquetado en una única función y solo recibe una llamada del código legítimo de OpenSSH. Sin embargo, tiene un flujo de control no lineal, llamando recursivamente a esta función para realizar subtareas.
Los investigadores encontraron que los clientes remotos tienen tres opciones para conectarse a Kobalos:
- Abrir un puerto TCP y esperar una conexión entrante (a veces llamada «puerta trasera pasiva»).
- Conectarse a otra instancia de Kobalos configurada para funcionar como servidor.
- Esperar conexiones a un servicio legítimo que ya se esté ejecutando, pero que provenga de un puerto TCP de origen específico (infección del servidor OpenSSH en ejecución).
Aunque hay varias formas en que los hackers pueden llegar a una máquina infectada con Kobalos, el método más utilizado es cuando el malware está incrustado en el ejecutable del servidor OpenSSH y activa el código del backdoor si la conexión es desde un puerto de origen TCP específico.
El malware también cifra el tráfico hacia y desde los hackers, para hacer esto, los hackers deben autenticarse con una clave y contraseña RSA-512. La clave genera y cifra dos claves de 16 bytes que cifran la comunicación mediante cifrado RC4.
Además, el backdoor puede cambiar la comunicación a otro puerto y actuar como un proxy para llegar a otros servidores comprometidos.
Dada su pequeña base de código (solo 24 KB) y su eficiencia, ESET afirma que la sofisticación de Kobalos «rara vez se ve en el malware de Linux».
Fuente: https://www.welivesecurity.com