Kobalos - تهدید پیچیده لینوکس برای زیرساخت های محاسباتی با عملکرد بالا

 

Kobalos - تهدید پیچیده لینوکس برای زیرساخت های محاسباتی با عملکرد بالا

 

 

 

با درود به کاربران و بازدید کنندگان عزیز سایت تخصصی ناد مارکت

 

 

---

 

محققان ESET بدافزارهایی را کشف کردند که خوشه های محاسبات با عملکرد بالا (HPC) را هدف قرار داده اند ، در میان سایر اهداف با مشخصات بالا. ما این بدافزار کوچک و در عین حال پیچیده را که برای بسیاری از سیستم عامل ها از جمله Linux ، BSD ، Solaris و احتمالاً AIX و Windows قابل حمل است را شناسایی کردیم. ما این بدافزار را به دلیل کوچک بودن و بسیاری از ترفندها ، به عنوان Kobalos نامگذاری کرده ایم. در اساطیر یونان ، یک کوبالوس موجودی کوچک و شیطنت آمیز است. امروز مقاله ای با عنوان "یک کوبالوس وحشی ظاهر می شود: بدافزار ترفندهای لینوکس به دنبال HPC ها می رود" را منتشر می کنیم که عملکرد داخلی این تهدید را توصیف می کند.

 

شاید در سال گذشته غیرمرتبط با وقایع مربوط به کوبالوس باشد ، چندین مورد امنیتی مربوط به خوشه های HPC رخ داده است. برخی از آنها به مطبوعات وارد شدند و جزئیات آن در مشاوره ای از European Grid Infrastructure (EGI) CSIRT در مورد مواردی که استخراج کنندگان ارزهای رمزپایه مستقر شده اند ، به اطلاع عموم رسید. مشاوره EGI CSIRT نشان می دهد که از سرورهای آسیب دیده در لهستان ، کانادا و چین در این حملات استفاده شده است. در مقالات مطبوعاتی همچنین به Archer اشاره شده است ، ابر رایانه مستقر در انگلستان که در آن اطلاعات SSH به سرقت رفته است ، اما در صورت وجود جزئیاتی در مورد بدافزار استفاده نشده است.

 

ما با تیم امنیت رایانه CERN و سازمان های دیگر درگیر در کاهش حملات به شبکه های تحقیقات علمی کار کرده ایم. به گفته آنها ، استفاده از بدافزار Kobalos قبل از حوادث دیگر است. در حالی که می دانیم کوبالوس خوشه های بزرگ HPC را به خطر انداخته است ، اما هیچ کس نمی تواند حوادث کوبالوس را به استفاده از بدافزار ارز رمزپایه مرتبط کند. بدافزار و تکنیک های توصیف شده در این حملات دیگر متفاوت است. ما همچنین می دانیم که کوبالوس به طور انحصاری HPC ها را هدف قرار نمی دهد: ما دریافتیم که یک ISP بزرگ آسیایی ، یک فروشنده امنیت نقطه پایانی آمریکای شمالی (نه ما) و همچنین برخی از سرورهای شخصی نیز به دلیل این تهدید به خطر افتاده اند.

 

کد کوچک ، اهداف بزرگ

 

با تجزیه و تحلیل کامل کوبالوس مشخص شد که بعضی اوقات می توان از راه دور تعیین کرد که آیا یک سیستم با اتصال به سرور SSH با استفاده از یک پورت منبع خاص TCP به خطر بیفتد. با استفاده از این دانش ، محققان ESET اینترنت را اسکن کردند تا قربانیان بالقوه را پیدا کنند. ما توانستیم چندین هدف کوبالوس ، از جمله سیستم های HPC را شناسایی کنیم.

 

 

ما به تمام قربانیان شناسایی شده اطلاع دادیم و برای جبران آنها با آنها کار کردیم.

 

Kobalos به این معناست که حاوی دستورات گسترده ای است که هدف حمله کنندگان را نشان نمی دهد. به طور خلاصه ، Kobalos اجازه دسترسی از راه دور به سیستم فایل را می دهد ، توانایی نفوذ را فراهم می کند ، و امکان اتصال پروکسی به سایر سرورهای آلوده به Kobalos را فراهم می کند.

چیزی که کوبالوس را منحصر به فرد می کند این واقعیت است که کد اجرای سرور C&C در خود کوبالوس است. هر سروری که توسط کوبالوس به خطر بیفتد توسط اپراتورهایی که یک دستور واحد ارسال می کنند می تواند به یک سرور C&C تبدیل شود. از آنجا که آدرس های IP سرور C&C و درگاه ها به سختی قابل اجرا هستند ، اپراتورها می توانند نمونه های جدید Kobalos را که از این سرور C&C جدید استفاده می کنند ، تولید کنند.

حضور این سرقت کننده اعتبار ممکن است تا حدی به نحوه انتشار کوبالوس پاسخ دهد. هرکسی که از سرویس گیرنده SSH در دستگاهی که در معرض خطر است استفاده کند ، اعتبار وی را ضبط می کند. سپس این مهاجمین می توانند از این گواهینامه ها استفاده کنند تا بعداً کوبالوس را بر روی سرور تازه کشف شده نصب کنند.

 

کوبالوس چگونه پنهان می شود

 

تجزیه و تحلیل کوبالوس به اندازه اکثر بدافزارهای لینوکس پیش پا افتاده نیست زیرا همه کدهای آن در یک عملکرد واحد نگهداری می شود که به صورت بازگشتی خود را برای انجام کارهای فرعی فراخوانی می کند.

این باعث می شود که تجزیه و تحلیل چالش برانگیزتر شود. علاوه بر این ، همه رشته ها رمزگذاری شده اند ، بنابراین یافتن کد مخرب دشوارتر از زمانی است که نمونه ها را به صورت ایستا مشاهده می کنید.

کوبالس با استفاده از یک کلید خصوصی 512 بیتی RSA و رمز عبور 32 بایت ، پس از تأیید اعتبار ، کلیدهای RC4 رد و بدل می شوند و بقیه ارتباطات با آنها رمزگذاری می شوند.

 

محصولات ESET بدافزار Kobalos را به عنوان Linux / Kobalos یا Linux / Agent.IV شناسایی می کنند. دزدگیر اعتبار SSH به عنوان Linux / SSHDoor.EV ، Linux / SSHDoor.FB یا Linux / SSHDoor.FC شناسایی می شود. یک قانون YARA نیز در مخزن malware-ioc ESET در GitHub موجود است.

از دیدگاه شبکه می توان با جستجوی ترافیک غیر SSH در درگاهی که به یک سرور SSH نسبت داده شده است کوبالوس را شناسایی کرد. وقتی کوبالوس با یک اپراتور ارتباط برقرار می کند ، هیچ بنر SSH (SSH-2.0‑ ‑) رد و بدل نمی شود ، نه از طرف مشتری و نه از سرور.

 

نتیجه :

 

ما قادر به تعیین اهداف گردانندگان کوبالوس نبودیم. هیچ بدافزار دیگری به جز سرقت کننده اعتبار SSH توسط مدیران سیستم دستگاههای در معرض خطر یافت نشد. ما همچنین به عملیات ضبط ترافیک شبکه اپراتورهای فعال دسترسی نداریم.

کوبالوس کاملاً در یک عملکرد واحد قرار دارد و استفاده از پورت باز موجود برای رسیدن به کوبالوس ، یافتن این تهدید را دشوارتر می کند. امیدوارم جزئیاتی که امروز در نشریه جدید خود فاش می کنیم به افزایش آگاهی در مورد این تهدید و قرار دادن فعالیت آن در زیر میکروسکوپ کمک کند. این سطح از پیچیدگی فقط به ندرت در بدافزارهای لینوکس دیده می شود. با توجه به اینکه پیشرفته تر از حد متوسط است و سازمان های نسبتاً بزرگی را به خطر می اندازد ، ممکن است کوبالوس برای مدتی دور بزند.