Linux 一般的に、より安全なオペレーティングシステムと見なされています Windows。 真実は、ハッカーはより多くのユーザーがいる場所、したがって成功のためのより多くのオプションに目を向けているということです。 この記事ではエコーします コバロス 、Linuxに影響を及ぼし、以前に攻撃されたOpenSSHソフトウェアを介してSSH資格情報を盗むことを目的とした新しい脅威。
SSH資格情報を盗むLinuxの脅威であるKobalos
セキュリティ研究者のグループが、Linuxシステムに影響を与えるこの問題を発見しました。 悪意を持って変更されたバージョンです OpenSSHの 。 SSH資格情報を盗むために使用できます。 これはコバロスと呼ばれ、複雑で誤解を招く可能性があることを示しています。
この Kobalosバックドア いくつかの政府システム、ヨーロッパの大学、さらにはインターネットオペレーターを含む、いくつかの重要な目標を達成しています。 当初、Linux、FreeBSD、およびSolarisオペレーティングシステムに影響を与えることが確認されていますが、専門家は、Windowsにも影響を与えるこのマルウェアの亜種が存在する可能性があることを示しています。
ESET セキュリティ研究者は、このマルウェアの被害者をインターネットでスキャンするようにKobalosをリバースエンジニアリングしました。 ほとんどの場合、システムとスーパーコンピューターに影響を及ぼしましたが、攻撃されたプライベートサーバーも見つかりました。
ESETは、ハッカーがKobalosをインストールするための管理アクセスを取得できるようにする最初の攻撃ベクトルを確立できませんでした。 ただし、一部の 侵害されたシステム 「古い、サポートされていない、またはパッチが適用されていないオペレーティングシステムとソフトウェアで実行されていた」ため、既知の脆弱性を悪用する可能性があります。
研究者はマルウェアの分析に数か月を費やしましたが、含まれている汎用コマンドと特定のペイロードがないため、正確な目的を特定できませんでした。
コバロスは提供します ファイルシステムへのリモートアクセス ターミナルセッションを生成できるため、攻撃者は任意のコマンドを実行できます。 さらに分析できるコンピューターで、OpenSSHクライアントがトロイの木馬に変わっていることを発見しました。 このようにして、ユーザー名、パスワード、および宛先ホストの名前を登録できます。
研究者は 資格情報の盗難 複数の大学の学生や研究者がスーパーコンピューターのプールにSSHでアクセスできる可能性があるため、マルウェアが同じネットワーク上の他のシステムまたは学界の他のネットワークにどのように広がるかを説明できます。
非常に軽量なマルウェア
最も驚くべき研究者の特徴のXNUMXつは、それが 小さなマルウェア 、24KBしか占有しません。 ただし、サイズが小さいにもかかわらず、かなり複雑なマルウェアであり、分析を困難にする難読化手法があります。
そのコードベースには、コマンドアンドコントロールサーバーを実行するためのコードが含まれています。 したがって、以前に攻撃されたサーバーを変換することができます。
攻撃を軽減するために、セキュリティ会社は、ユーザーがSSHサーバーに接続するためにXNUMX要素認証を有効にすることを推奨しています。 ESETによると、ツールはマルウェアをLinux / KobalosまたはLinux / Agent.IVとして検出し、SSH資格情報スティーラーはLinux / SSHDoor.EV、Linux / SSHDoor.FB、またはLinux /SSHDoor.FCとして検出されます。
