Malware Kobalos: una amenaza compleja para Linux

Análisis de malware

Malware Kobalos: una amenaza compleja para Linux

26 de mayo de por Pedro Tavares

Kobalos es un malware que a menudo se encuentra atacando sistemas tipo Unix. El malware fue descubierto recientemente por el equipo de ESET . Su nombre se basa en el pequeño tamaño del código y en los muchos trucos encontrados durante su análisis. Se trata de un malware dirigido a sistemas basados ​​en UNIX, incluidos Linux, FreeBSD y Solaris, y posiblemente AIX y Windows. El código otorga acceso remoto al sistema de archivos del sistema operativo, permite a los delincuentes ejecutar sesiones de terminal y permite conexiones proxy a otros servidores infectados con Kobalos en todo el mundo.

En general, esta amenaza se ha dirigido a clústeres de informática de alto rendimiento (HPC), entre otros objetivos de alto perfil. Por ejemplo, el aviso de EGI CSIRT muestra que los servidores comprometidos en Polonia, Canadá y China se utilizan para llevar a cabo estos ataques. La 1 muestra cómo se distribuye esta amenaza a nivel mundial.

1: Distribución global del malware Kobalos (fuente).

El punto de apoyo inicial se logra comprometiendo las credenciales para obtener acceso administrativo y luego instalar la puerta trasera de Kobalos. Luego, los delincuentes utilizan un servicio SSH en forma de un cliente OpenSSH troyanizado.

El archivo /usr/bin/ssh fue reemplazado por un ejecutable modificado que registraba el nombre de usuario, la contraseña y el nombre del host de destino, y

los escribió en un archivo cifrado, dice ESET.

Kobalos: modus operandi

Kobalos es un poderoso malware. Contiene un conjunto de comandos que no revelan a primera vista las intenciones maliciosas de los delincuentes. Esta puerta trasera está equipada con funciones para otorgar acceso remoto al sistema de archivos del sistema operativo, que contiene capacidades para generar sesiones de terminal y conexiones proxy a otros servidores infectados con Kobalos en Internet, como se muestra a continuación.

2: Diagrama de alto nivel de la puerta trasera de Kobalos.

Como se observó anteriormente, existen algunas formas de conectarse e interactuar con los hosts infectados. El método genérico se basa en el cliente sshd troyanizado. Kobalos generará una nueva sesión si la conexión proviene de un puerto específico. Otras variantes no están disponibles en el código fuente del malware. Los delincuentes obtienen acceso a la máquina infectada utilizando un servidor C2 que actúa como un agente intermediario (MITM) que conecta otros hosts infectados a través de puertos TCP específicos.

Un detalle interesante que hace que esta puerta trasera sea única es que cada host infectado con Kobalos actúa como un servidor C2. Como el servidor C2, las direcciones IP y los puertos están codificados en el ejecutable, los operadores pueden generar nuevas muestras de Kobalos que utilizan nuevos servidores C2 disponibles y alojados en las infraestructuras del objetivo.

3: Configuración codificada de Kobalus.

Las capas de ofuscación de Kobalos

Kobalos utiliza una única función que llama recursivamente a otras funciones durante el tiempo de ejecución. Por eso, analizar a Kobalus no se considera una tarea trivial. La 4 muestra un diagrama de alto nivel de la convocatoria principal y subconvocatorias.

4: Gráfico de flujo de control del malware Kobalos.

Por otro lado, no hay salidas en cadenas de texto plano legibles dentro del código fuente del malware (datos binarios). Las cadenas se cifran utilizando el algoritmo RC4 y se descifran después de la comunicación inicial. La misma clave se comparte entre diferentes muestras:

AE 0E 05 09 0F 3A C2 B5 0B 1B C6 E9 1D 2F E3 CE.

Las cadenas descifradas de la puerta trasera de Kobalos son las siguientes:

  1. %s %s
  2. /dev/ptmx
  3. ptem
  4. termino
  5. ttcompat
  6. /desarrollo/tty
  7. %s
  8. %d
  9. /
  11. %d.%d
  12. ganar3.11
  13. win95
  14. ganarNT
  15. ¿¿ganar??
  16. \.tubería2
  17. %s %s.%s
  18. /dev/ptc

Después de iniciarse, el malware puede protegerse contra el análisis forense con las siguientes características:

⦁ Establezca RLIMIT_CORE en cero para evitar la generación de volcado de núcleo si el proceso falla

⦁ Ignore la mayoría de las señales para que sea más difícil interrumpir el proceso.

5: Kobalos evita crear volcados de núcleo en caso de fallas e ignorará la mayoría de las señales.

Además, la técnica de timestomping se utiliza para reemplazar la marca de tiempo original del archivo sshd (la puerta trasera en sí) para reducir posibles sospechas.

El uso de la puerta trasera requiere una clave RSA privada de 512 bits y una contraseña de 32 bytes. Cuando se autentica el operador del malware, las claves RC4 se intercambian entre los hosts infectados y las máquinas de los operadores, y el resto de la comunicación con ellos se cifra. El protocolo de red se resume en el siguiente diagrama.

6: Diagrama de comunicación de Kobalos.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Cómo lidiar con el malware Kobalos

El malware Kobalos es una amenaza potente y peligrosa que ahora afecta principalmente a los sistemas basados ​​en Unix, aunque no exclusivamente. Los sistemas operativos como Solaris y Windows también están en peligro. A primera vista, las numerosas características bien implementadas y técnicas de evasión de red muestran que los delincuentes detrás de este malware tienen mucho más conocimiento que los autores de malware típicos que apuntan principalmente a sistemas que no son Windows.

De esta manera, el monitoreo a nivel de host debe verse como un primer paso para detectar y bloquear amenazas de estas líneas y también artefactos relacionados con el cliente sshd. Con esta práctica, los delincuentes logran persistencia y evaden la detección, una señal clara a considerar cuando buscan actividad maliciosa a nivel de host.

Por otro lado, se puede detectar un volumen grande o poco común de tráfico de Internet y cargas útiles anormales utilizando algún software de análisis de red, dispositivos físicos como firewalls, etc.

Sea proactivo y empiece a tomarse en serio la protección contra malware.

Fuentes

Análisis de Kobalos , ESET

Asesoramiento sobre ataques a múltiples sitios HPC , EGI CSIRT