Kobalos是一种危险的恶意软件,但是有很多方法可以化解威胁确保网络安全。
研究发现,恶意软件Kobalos经常攻击Unix系统,包括Linux,FreeBSD和Solaris,甚至还有AIX和Windows。该代码授予对操作系统文件系统的远程访问权,允许犯罪分子执行终端会话,并代理连接到全球其他受kobalo感染的服务器。
这种威胁的目标是高性能计算(HPC)集群,及其他受关注的目标:在EGI CSIRT的报告中显示,在波兰、加拿大和中国被破坏的服务器曾受到攻击。下图显示此类威胁在全球的分布情况。
最初的立足点是通过破坏凭证以获取管理访问权限,然后安装Kobalos后门来实现,之后犯罪分子使用木马化OpenSSH客户端形式的SSH服务。/usr/bin/ssh文件被一个修改过的可执行文件替换,此可执行文件记录了用户名、密码和目标主机名并把它们写入一个加密文件。
Kobalos作案手法
Kobalos包含一组命令,这组命令协助隐藏了犯罪分子意图,同时增加了网络安全方面的风险。该后门具有允许对操作系统文件系统进行远程访问的功能,包括生成终端会话和代理连接到Internet上其他感染Kobalos的服务器的功能。
可以看到与受感染的主机连接并交互的通用方法是基于木马sshd客户端。如果连接来自特定端口,Kobalos将生成一个新的会话,其他变种在恶意软件源代码中不可用。犯罪分子通过C2服务器访问受感染的机器,其中C2服务器充当中间人(MITM)代理,通过特定的TCP端口连接其他受感染的主机。有趣的是,每个受kobalo感染的主机都充当C2服务器。作为C2服务器,IP地址和端口被硬编码到可执行文件中,然后操作员可以生成新的Kobalos示例,这些示例在目标基础结构上可用并托管到新C2服务器。
Kobalos的混淆层
Kobalos运用一个函数,该函数在运行时递归调用其他函数,分析起来极为复杂。
另一方面,恶意软件源代码中没有可读纯文本字符串出口,字符串使用RC4算法进行加密,并在初始通信后解密。不同示例之间可共享密钥:
AE 0E 05 09 0F 3A C2 B5 0B 1B C6 E9 1D 2F E3 CE。
解密后的Kobalos后门字符串如下:
%s %s
/dev/ptmx
ptem
ldterm
ttcompat
/dev/tty
%s
%d
/
\
%d.%d
win3.11
win95
winNT
win??
\\.\pipe\2
%s %s.%s
/dev/ptc
启动后,恶意软件可以通过代码编写以下功能保护自己免受取证分析:
-
将RLIMIT_CORE设置为0,以防止在进程崩溃时生成core-dump
-
忽略大多数信号,使其更难中断进程
另外,时间戳技术用于替换sshd文件(后门本身)的原始时间戳,以减少潜在的怀疑。使用后门需要512位的RSA私钥和32字节长的密码。当恶意软件操作员被认证时,受感染的主机和操作员的机器之间会交换RC4密钥,其余通信也将被加密。下图概述了网络协议。
解决Kobalos恶意软件
Kobalos恶意软件具有很强的威胁性,目前主要影响基于Unix系统,但Solaris和Windows等操作系统也处于危险之中。大量数据表明,这一恶意软件背后的犯罪分子比主要针对非windows系统的典型恶意软件创作者知识渊博得多。因此加强主机级监视是检测和阻止与sshd客户机相关的线路和工件威胁的第一步,同时加强软件漏洞检测及源代码安全扫描,保障代码原生安全,可以有效减少犯罪分子作案机会。另一方面,可以使用一些网络分析软件、物理设备(如防火墙等)检测出互联网流量和异常负载。
