Kobalos – eine Linux‑Malware für Supercomputer | WeLiveSecurity

Kobalos – eine Linux‑Malware für Supercomputer

ESET-Forscher veröffentlichen Forschungsergebnisse zu einer einzigartigen komplexen Multiplattform-Malware namens Kobalos.

ESET-Forscher veröffentlichen Forschungsergebnisse zu einer einzigartigen komplexen Multiplattform-Malware namens Kobalos.

ESET-Forscher haben Malware analysiert, die unter anderem auf HPC-Cluster (High Performance Computing) und andere herausragende Ziele abzielt. Wir haben diese kleine, aber komplexe Malware rückentwickelt, die auf viele Betriebssysteme wie Linux, BSD, Solaris und möglicherweise AIX und Windows portierbar ist. Aufgrund ihrer winzigen Codegröße und vieler Tricks haben wir diese Malware Kobalos benannt. In der griechischen Mythologie ist ein Kobalos eine kleine, schelmische Kreatur. Heute veröffentlichen wir einen Artikel mit dem Titel “A wild Kobalos appears: Tricksy Linux malware goes after HPCs”, in dem die Funktionsweise dieser Bedrohung beschrieben wird.

Im vergangenen Jahr gab es mehrere Sicherheitsvorfälle mit HPC-Clustern, die möglicherweise nicht in Bezug zu Kobalos stehen. Über einige von ihnen berichtete die Presse und Vorfälle, bei denen Krypto-Miner eingesetzt wurden, wurden in einem Gutachten des European Grid Infrastructure (EGI) CSIRT veröffentlicht. Die EGI CSIRT-Empfehlung zeigt, dass bei diesen Angriffen kompromittierte Server in Polen, Kanada und China verwendet wurden. In Presseartikeln wird auch Archer erwähnt, ein in Großbritannien ansässiger Supercomputer, bei dem SSH-Anmeldeinformationen gestohlen wurden. Sie erhielten jedoch keine Details darüber, welche Malware gegebenenfalls dabei verwendet wurde.

Wir haben mit dem CERN Computer Security Team und anderen Organisationen zusammengearbeitet, die an der Abwehr von Angriffen auf wissenschaftliche Forschungsnetzwerke beteiligt sind. Deren Angaben zufolge, sind dem Einsatz von Kobalos andere Vorfälle vorausgegangen. Obwohl wir wissen, dass Kobalos große HPC-Cluster kompromittiert hat, konnte niemand die Kobalos-Vorfälle mit dem Einsatz von Kryptowährungs-Malware in Verbindung bringen. Auch die Malware und die bei diesen anderen Angriffen beschriebenen Techniken unterscheiden sich. Wir wissen auch, dass Kobalos nicht ausschließlich auf HPCs abzielt: Wir haben festgestellt, dass ein großer asiatischer ISP, ein nordamerikanischer Endpoint Security-Anbieter (nicht wir) sowie einige einfache Server ebenfalls von dieser Bedrohung betroffen waren.

Winziger Code, große Ziele

Eine gründliche Analyse von Kobalos hat ergeben, dass es manchmal möglich ist eine Systemkompromittierung aus der Ferne zu erkennen, indem über einen bestimmten TCP-Quellport eine Verbindung zum SSH-Server herstellt. Mit diesem Wissen suchten ESET-Forscher im Internet nach potenziellen Opfern. Wir konnten mehrere Ziele von Kobalos identifizieren, einschließlich HPC-Systeme.

Abbildung 1. Branche und Region kompromittierter Organisationen

Wir haben alle identifizierten Opfer benachrichtigt und mit ihnen zusammengearbeitet, um Abhilfe zu schaffen.

Die Backdoor

Kobalos ist eine generische Hintertür in dem Sinne, dass sie viele Befehle enthält, die die Absicht der Angreifer nicht offenbaren. Kurz gesagt, Kobalos gewährt Remotezugriff auf das Dateisystem, bietet die Möglichkeit Terminalsitzungen zu erzeugen und erlaubt Proxy-Verbindungen zu anderen mit Kobalos infizierten Servern.

Abbildung 2. Übersicht über Kobalos-Funktionen und Zugriffsmöglichkeiten

Es gibt mehrere Möglichkeiten für die Hintermänner, einen mit Kobalos infizierten Computer zu erreichen. Die Methode, die wir am häufigsten gesehen haben, besteht darin, dass Kobalos in die ausführbare OpenSSH-Serverdatei (sshd) eingebettet ist und den Backdoor-Code auslöst, wenn die Verbindung von einem bestimmten TCP-Quellport kommt. Es gibt andere eigenständige Varianten, die nicht in sshd eingebettet sind. Diese Varianten stellen entweder eine Verbindung zu einem C&C-Server her, der als Mittelsmann fungiert, oder sie warten auf eine eingehende Verbindung an einem bestimmten TCP-Port.

Was Kobalos einzigartig macht, ist die Tatsache, dass sich der Code zum Ausführen eines C&C-Servers in Kobalos selbst befindet. Jeder von Kobalos kompromittierte Server kann von den Bedienern, die einen einzigen Befehl senden, in einen C&C-Server umgewandelt werden. Da die IP-Adressen und Ports des C&C-Servers in der ausführbaren Datei fest codiert sind, können die Bediener neue Kobalos-Beispiele generieren, die diesen neuen C&C-Server verwenden.

Der Handlanger

In den meisten von Kobalos kompromittierten Systemen ist der SSH-Client kompromittiert, um Anmeldeinformationen zu stehlen. Dieser Stealer für Anmeldeinformationen unterscheidet sich von allen schädlichen OpenSSH-Clients, die wir bis jetzt gesehen haben, und wir haben in den letzten acht Jahren viele davon gesehen. Die Raffinesse dieser Komponente ist nicht die gleiche wie bei Kobalos selbst: es wurde kein Wert daraufgelegt, frühe Varianten des Stealers zu verschleiern. Beispielsweise wurden Zeichenfolgen unverschlüsselt gelassen und gestohlene Benutzernamen und Kennwörter werden einfach in eine Datei auf der Festplatte geschrieben. Wir haben jedoch neuere Varianten gefunden, die eine gewisse Verschleierung enthalten und die Möglichkeit bieten, Anmeldeinformationen über das Netzwerk zu filtern.

Die Anwesenheit dieses Stealers könnte teilweise beantworten, wie sich Kobalos verbreitet. Jedem, der den SSH-Client eines kompromittierten Computers verwendet, werden die Anmeldeinformationen gestohlen. Diese Anmeldeinformationen können dann von den Angreifern verwendet werden, um Kobalos später auf dem neu entdeckten Server zu installieren.

Wie sich Kobalos versteckt

Das Analyse von Kobalos ist nicht so trivial wie bei anderer Linux-Malware, da der gesamte Code in einer einzigen Funktion gespeichert ist, die sich rekursiv selbst aufruft, um Unteraufgaben auszuführen.

Abbildung 3. Kontrollflussdiagramm von Kobalos

Dies macht die Analyse schwieriger. Darüber hinaus sind alle Zeichenfolgen verschlüsselt, sodass es schwieriger ist, den Schadcode zu finden, als wenn man Beispiele statisch betrachtet.

Die Verwendung der Hintertür erfordert einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort. Nach der Authentifizierung werden RC4-Schlüssel ausgetauscht und die weitere Kommunikation damit verschlüsselt.

Das Netzwerkprotokoll wird durch das Sequenzdiagramm zusammengefasst.

Abbildung 4. Sequenzdiagramm mit einer Zusammenfassung der Kobalos-Netzwerkprotokolle

Beseitigung

ESET-Produkte erkennen die Kobalos-Malware als Linux/Kobalos oder Linux/Agent.IV. Der Stealer für SSH-Anmeldeinformationen wird als Linux/SSHDoor.EV, Linux/SSHDoor.FB oder Linux/SSHDoor.FC erkannt. Eine YARA-Regel ist auch im Malware-ioc-Repository von ESET auf GitHub verfügbar.

Aus Netzwerksicht ist es möglich, Kobalos zu erkennen, indem auf den dem SSH-Server zugeordneten Ports nach Nicht-SSH-Verkehr sucht. Wenn die Kobalos-Backdoor mit einem Betreiber kommuniziert, wird weder vom Client noch vom Server ein SSH-Banner (SSH-2.0-…) ausgetauscht.

Wir haben bereits früher vorgeschlagen Zwei-Faktor-Authentifizierung (2FA) für die Verbindung mit SSH-Servern einzurichten. Auch bei Kobalos hätte 2FA die Bedrohung mindern können, da die Verwendung gestohlener Anmeldeinformationen eine der Möglichkeiten zu sein scheint, wie sich die Malware es auf verschiedene Systeme überträgt.

Fazit

Wir konnten die Absichten der Betreiber von Kobalos nicht ermitteln. Die Systemadministratoren der kompromittierten Computer konnten keine andere Malware als den Stealer für SSH-Anmeldeinformationen finden. Wir hatten auch keinen Zugriff auf erfassten Netzwerkverkehr der Malware-Betreiber.

Die Art und Weise, wie Kobalos in einer einzigen Funktion enthalten ist, und die Verwendung eines vorhandenen offenen Ports, um Kobalos zu erreichen, erschweren das Aufspüren dieser Bedrohung. Hoffentlich helfen die hier enthüllten Details, das Bewusstsein für diese Bedrohung zu schärfen und ihre Aktivitäten genauer unter die Lupe zu nehmen. Dieser Grad an Raffinesse ist bei Linux-Malware nur selten zu beobachten. Da Kobalos überdurchschnittlich weit fortgeschritten ist und ziemlich große Unternehmen gefährdet, könnte es möglicherweise noch eine Weile eine Gefahr darstellen.

Eine umfassende Liste von Kompromissindikatoren (IoCs) und Samples finden Sie in unserem GitHub-Repository.

Für Anfragen oder Sample-Einreichungen zu diesem Thema wenden Sie sich bitte an threatintel@eset.com.

Wir möchten die Arbeit von Maciej Kotowicz von MalwareLab.pl hervorheben, der Kobalos auch unabhängig analysiert hat und mit dem wir gegenseitig Ergebnisse geteilt haben. Er hielt ein Vortrag zu dieser Bedrohung auf der Konferenz Oh My H@ck 2020.

MITRE ATT&CK techniques

This table was built using version 8 of the ATT&CK framework.

TacticIDNameDescription
PersistenceT1554Compromise Client Software BinaryKobalos may embed its malicious payload in the OpenSSH server and replace the legitimate file (sshd).
Kobalos replaces the SSH client on compromised systems to steal credentials.
T1205Traffic SignalingKobalos may be triggered by an incoming TCP connection to a legitimate service from a specific source port.
Defense EvasionT1070.003Clear Command HistoryNo command history related to the attack was found on Kobalos-infected machines.
T1070.006TimestompWhen files are replaced by Kobalos operators, timestamps are forged.
T1027.002Software PackingKobalos’s code is flattened into a single function using a custom packer and its strings are encrypted.
Command and ControlT1573.001Encrypted Channel: Symmetric CryptographyKobalos’s post-authentication communication channel is encrypted with RC4.
T1573.002Encrypted Channel: Asymmetric CryptographyKobalos’s authentication and key exchange is performed using RSA-512.
T1090.003Proxy: Multi-hop ProxyKobalos can serve as a proxy to other Kobalos-compromised systems.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren