WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Mã độc Linux mới đánh cắp thông tin đăng nhập SSH từ các siêu máy tính
Các nhà nghiên cứu của công ty bảo mật ESET vừa phát hiện một backdoor mới đang nhắm vào các siêu máy tính trên toàn thế giới, thường đánh cắp thông tin đăng nhập trên các kết nối mạng bảo mật bằng phiên bản trojan của phần mềm OpenSSH.
Mã độc được đặt tên là Kobalos, theo tên của một sinh vật trong thần thoại Hy Lạp.
Các nhà nghiên cứu cho biết Kobalos chứa một codebase nhỏ nhưng phức tạp và có thể thực thi trên các nền tảng UNIX khác (FreeBSD, Solaris). Quá trình phân tích cho thấy có thể có nhiều biến thể cho các hệ điều hành AIX và Windows.
Sau khi phát hiện, các nhà nghiên cứu đã thực hiện quét trên diện rộng để tìm kiếm nạn nhân của Kobalos. Họ tìm thấy nhiều hệ thống bị xâm phạm là các siêu máy tính và máy chủ trong lĩnh vực nghiên cứu. Các nạn nhân khác gồm có một thiết bị đầu cuối của nhà cung cấp bảo mật phần mềm tại Bắc Mỹ, một nhà cung cấp dịch vụ Internet lớn ở châu Á, các tổ chức marketing và các nhà cung cấp dịch vụ lưu trữ.
Các nhà nghiên cứu vẫn xác định được hướng tấn công ban đầu cho phép tin tặc giành quyền truy cập để cài đặt Kobalos, tuy nhiên, một số hệ thống bị xâm phạm đang “chạy các phiên bản phần mềm và hệ điều hành đã lỗi thời, không còn được hỗ trợ hoặc chưa được vá”. Vì vậy việc khai thác một lỗ hổng phổ biến là kịch bản có thể xảy ra.
Tuy đã dành nhiều tháng để phân tích mã độc nhưng các nhà nghiên cứu vẫn không thể xác định được động cơ của kẻ tấn công bởi các lệnh thường khá chung chung và không có payload cụ thể.
Theo công ty ESET: “Trên các máy tính bị xâm nhập, chúng tôi phát hiện việc đánh cắp thông tin đăng nhập SSH dưới dạng một máy client OpenSSH đã bị nhiễm trojan. Lệnh /usr/bin/sshfile đã bị thay thế bằng một lệnh có thể thực thi bị chỉnh sửa để ghi lại username, mật khẩu và tên miền mục tiêu và ghi chúng đến một file bị mã hóa”.
Các nhà nghiên cứu nhận định việc đánh cắp thông tin đăng nhập sẽ lý giải cách mã độc phát tán đến các hệ thống khác trên cùng mạng hoặc các mạng khác trong lĩnh vực nghiên cứu khi sinh viên và các nhà nghiên cứu từ nhiều trường đại học có thể có quyền truy cập SSH đến các cụm siêu máy tính.
Tuy chỉ có dung lượng 24KB cho bản 32/64-bit, Kobalos mang nhiều đặc tính phức tạp như kỹ thuật obfuscation được tùy chỉnh và chống điều tra số ngăn cản việc phân tích nó.
Điều thú vị của Kobalos là mã của nó được đóng gói thành một hàm duy nhất và chỉ có một lệnh gọi từ mã OpenSSH hợp pháp. Mã độc này có một luồng điều khiển phi tuyến nhưng gọi hàm tuyến tính để thực thi các tác vụ phụ - hỗ trợ tổng cộng 37 hành vi, một trong số đó có thể khiến bất kỳ máy bị xâm nhập nào thành máy chủ C&C.
Các nhà nghiên cứu phát hiện kẻ điều khiển từ xa có 3 lựa chọn để kết nối đến Kobalos:
Ngoài ra, backdoor còn có thể chuyển giao tiếp đến một cổng thay thế và hoạt động như một proxy để tiếp cận các máy chủ bị xâm phạm khác.
ESET cho biết sự phức tạp của Kobalos nằm ở việc hiếm khi phát hiện được 1 malware Linux, cho thấy kẻ phát triển malware này có chuyên môn cao hơn nhiều các tác giả tạo malware trên Linux thông thường khác.
Mặc dù độ phức tạp của mã độc này đã được công nhận, vẫn chưa xác định được động cơ của kẻ tấn công cũng như khoảng thời gian phát tán mã độc này (một số chuỗi được tìm thấy liên quan đến Windows 3.11 và Windows 95, đã hơn 25 năm tuổi)
Có thể khẳng định Kobalos đang đánh cắp thông tin đăng nhập SSH của những cụm máy tính có cấu hình cao và mã độc này đã hoạt động mạnh từ trước khi các cuộc tấn công nhằm vào các siêu máy tính được ghi lại từ cuối năm 2019.
Hơn nữa, không giống như các sự cố đã được báo cáo liên quan đến mạng HPC, với mã độc Kobalos các quản trị viên hệ thống không phát hiện các hành vi khai thác tiền điện tử hoặc chạy các tác vụ chiếm nhiều tài nguyên máy.
Các nhà nghiên cứu cho biết Kobalos chứa một codebase nhỏ nhưng phức tạp và có thể thực thi trên các nền tảng UNIX khác (FreeBSD, Solaris). Quá trình phân tích cho thấy có thể có nhiều biến thể cho các hệ điều hành AIX và Windows.
Sau khi phát hiện, các nhà nghiên cứu đã thực hiện quét trên diện rộng để tìm kiếm nạn nhân của Kobalos. Họ tìm thấy nhiều hệ thống bị xâm phạm là các siêu máy tính và máy chủ trong lĩnh vực nghiên cứu. Các nạn nhân khác gồm có một thiết bị đầu cuối của nhà cung cấp bảo mật phần mềm tại Bắc Mỹ, một nhà cung cấp dịch vụ Internet lớn ở châu Á, các tổ chức marketing và các nhà cung cấp dịch vụ lưu trữ.
Các nhà nghiên cứu vẫn xác định được hướng tấn công ban đầu cho phép tin tặc giành quyền truy cập để cài đặt Kobalos, tuy nhiên, một số hệ thống bị xâm phạm đang “chạy các phiên bản phần mềm và hệ điều hành đã lỗi thời, không còn được hỗ trợ hoặc chưa được vá”. Vì vậy việc khai thác một lỗ hổng phổ biến là kịch bản có thể xảy ra.
Tuy đã dành nhiều tháng để phân tích mã độc nhưng các nhà nghiên cứu vẫn không thể xác định được động cơ của kẻ tấn công bởi các lệnh thường khá chung chung và không có payload cụ thể.
Theo công ty ESET: “Trên các máy tính bị xâm nhập, chúng tôi phát hiện việc đánh cắp thông tin đăng nhập SSH dưới dạng một máy client OpenSSH đã bị nhiễm trojan. Lệnh /usr/bin/sshfile đã bị thay thế bằng một lệnh có thể thực thi bị chỉnh sửa để ghi lại username, mật khẩu và tên miền mục tiêu và ghi chúng đến một file bị mã hóa”.
Các nhà nghiên cứu nhận định việc đánh cắp thông tin đăng nhập sẽ lý giải cách mã độc phát tán đến các hệ thống khác trên cùng mạng hoặc các mạng khác trong lĩnh vực nghiên cứu khi sinh viên và các nhà nghiên cứu từ nhiều trường đại học có thể có quyền truy cập SSH đến các cụm siêu máy tính.
Tuy chỉ có dung lượng 24KB cho bản 32/64-bit, Kobalos mang nhiều đặc tính phức tạp như kỹ thuật obfuscation được tùy chỉnh và chống điều tra số ngăn cản việc phân tích nó.
Điều thú vị của Kobalos là mã của nó được đóng gói thành một hàm duy nhất và chỉ có một lệnh gọi từ mã OpenSSH hợp pháp. Mã độc này có một luồng điều khiển phi tuyến nhưng gọi hàm tuyến tính để thực thi các tác vụ phụ - hỗ trợ tổng cộng 37 hành vi, một trong số đó có thể khiến bất kỳ máy bị xâm nhập nào thành máy chủ C&C.
Các nhà nghiên cứu phát hiện kẻ điều khiển từ xa có 3 lựa chọn để kết nối đến Kobalos:
- Mở một cổng TCP và đợi kết nối đến (đôi khi còn gọi là backdoor thụ động)
- Kết nối đến máy tính khác của Kobalos được cấu hình để chạy như một máy chủ C&C
- Đợi kết nối đến một dịch vụ hợp pháp sẵn sàng chạy nhưng đến từ cổng nguồn TCP cụ thể.
Ngoài ra, backdoor còn có thể chuyển giao tiếp đến một cổng thay thế và hoạt động như một proxy để tiếp cận các máy chủ bị xâm phạm khác.
ESET cho biết sự phức tạp của Kobalos nằm ở việc hiếm khi phát hiện được 1 malware Linux, cho thấy kẻ phát triển malware này có chuyên môn cao hơn nhiều các tác giả tạo malware trên Linux thông thường khác.
Mặc dù độ phức tạp của mã độc này đã được công nhận, vẫn chưa xác định được động cơ của kẻ tấn công cũng như khoảng thời gian phát tán mã độc này (một số chuỗi được tìm thấy liên quan đến Windows 3.11 và Windows 95, đã hơn 25 năm tuổi)
Có thể khẳng định Kobalos đang đánh cắp thông tin đăng nhập SSH của những cụm máy tính có cấu hình cao và mã độc này đã hoạt động mạnh từ trước khi các cuộc tấn công nhằm vào các siêu máy tính được ghi lại từ cuối năm 2019.
Hơn nữa, không giống như các sự cố đã được báo cáo liên quan đến mạng HPC, với mã độc Kobalos các quản trị viên hệ thống không phát hiện các hành vi khai thác tiền điện tử hoặc chạy các tác vụ chiếm nhiều tài nguyên máy.
Theo Bleeping Computer