nytt hot mot Linux som stjäl SSH-referenser –

Kobalos, ett Linux-hot som stjäl SSH-uppgifter

En grupp säkerhetsforskare har upptäckt detta problem som påverkar Linux-system. Detta är en uppsåtligt modifierad version ÖppnaSSH … Den kan användas för att stjäla SSH-uppgifter. Det kallas Cobalos och de indikerar att det är komplext och missvisande.

Denna meditation Cobalos bakdörr träffar några viktiga mål, inklusive vissa statliga system, europeiska universitet och till och med internetoperatörer. Det bekräftades från början påverka operativsystemen Linux, FreeBSD och Solaris, men experter påpekar att det kan finnas varianter av denna skadliga programvara som också påverkar Windows.

ESET Säkerhetsforskare har konstruerat Kobalos för att skanna Internet efter offer för denna skadliga programvara. I de flesta fall påverkade det system och superdatorer, men de upptäckte även attackerade privata servrar.

ESET kunde inte identifiera den ursprungliga attackvektorn som gjorde det möjligt för hackare att få administrativ åtkomst för att installera Kobalos. Men några av komprometterade system “Kördes på gamla, icke-stödda eller icke-proprietära operativsystem och programvara”, därför är det troligt att utnyttja en känd sårbarhet.

Även om forskare har ägnat månader åt att analysera skadlig programvara, har de inte kunnat fastställa dess exakta syfte på grund av de generiska kommandon som den innehåller och avsaknaden av en specifik nyttolast.

Cobalos ger fjärråtkomst till filsystemet och kan generera terminalsessioner, vilket gör att angripare kan utföra godtyckliga kommandon. På datorer där de kunde analyseras fann de att det fanns en OpenSSH-klient förvandlad till en trojan. På så sätt kunde jag registrera användarnamn, lösenord och målvärdnamn.

Det tror forskare stjäla meriter skulle kunna förklara hur skadlig programvara sprids till andra system i samma nätverk eller på andra nätverk i akademin, eftersom studenter och forskare från flera universitet kan SSH få tillgång till pooler av superdatorer.

Mycket lätt skadlig programvara

En av de egenskaper som mest överraskar forskarna är att det är det liten skadlig kod som bara är 24KB. Men trots sin ringa storlek är det en ganska komplex skadlig programvara som använder fördunklingstekniker som gör analys svår.

I sin kodbas innehåller den koden för att starta kommando- och kontrollservern. Således kunde de transformera vilken server som helst som hade attackerats tidigare.

För att förhindra attacker rekommenderar säkerhetsföretaget att användare aktiverar tvåfaktorsautentisering för att ansluta till SSH-servrar. ESET hävdar att dess verktyg upptäcker skadlig programvara som Linux / Kobalos eller Linux / Agent.IV, medan SSH-referensskapningsverktyget identifieras som Linux / SSHDoor.EV, Linux / SSHDoor.FB eller Linux / SSHDoor.FC.

Relaterade artiklar

Back to top button