Cabecera-v2-web.jpg

El nuevo malware kobalos de Linux roba las credenciales SSH


05/02/2021

Un grupo de investigadores ha alertado sobre el descubrimiento de un nuevo método de ataque de malware multiplataforma que afecta a los sistemas operativos Linux, FreeBSD y Solaris y todo indica que también podría haber una variante que afecte a sistemas Windows.

Se trata de una versión modificada de forma maliciosa de OpenSSH (usa una versión troyanizada) con el fin de robar credenciales SSH entre otras actividades maliciosas que aún no están muy claras según informaron los especialistas, debido a los comandos genéricos incluidos y sin una carga útil específica, este malware ha sido denominado como Kobalos por el pequeño tamaño de su código y sus muchos trucos que en la mitología griega, un Kobalos es una criatura pequeña y traviesa. Se dirige a clusters informáticos de alto rendimiento (HPC), entre otros objetivos de alto perfil.

¿Cómo Funciona?

Kobalos, es un malware que utiliza una versión maliciosa modificada o troyanizada de OpenSSH que proporciona acceso remoto al sistema de archivos y puede generar sesiones de terminal, lo que permite a los atacantes ejecutar comandos arbitrarios. En uno de los equipos comprometido y analizado se descubrió que había un cliente OpenSSH convertido en troyano, que podría registrar el nombre de usuario, contraseña y el nombre del host de destino.

Los investigadores creen que el robo de credenciales podría explicar cómo el malware se propaga a otros sistemas en la misma red u otras redes ya que los usuarios pueden tener acceso SSH a grupos de las computadoras y supercomputadoras.

En su mayor parte fueron comprometidas supercomputadoras, pero también encontraron incidentes relacionados con servidores privados. Kobalos ha alcanzando algunos objetivos importantes, incluidos sistemas gubernamentales y universidades.

Los investigadores descubrieron que los operadores remotos tienen tres opciones para conectarse a Kobalos:

  • Abrir un puerto TCP y esperar una conexión entrante (a veces llamada puerta trasera pasiva)
  • Conectarse a otra instancia de Kobalos configurada para ejecutarse como servidor C2
  • Espere las conexiones a un servicio legítimo que ya se esté ejecutando, pero que provenga de un puerto de origen TCP específico (trojanice el servidor OpenSSH en ejecución)

En la mayoría de los sistemas comprometidos por Kobalos, el cliente SSH es comprometido para robar credenciales. La presencia de este ladrón de credenciales puede responder parcialmente la pregunta acerca de cómo se propaga Kobalos. Cualquiera que use el cliente SSH de una máquina comprometida tendrá sus credenciales capturadas. Estas credenciales podrán entonces ser usadas por los atacantes para instalar Kobalos en los nuevos servidores que se descubrieron más tarde.

Características

Una de las características que más sorprenden a los investigadores es que se trata de un malware pequeño, que apenas ocupa 24 KB. No obstante, pese a su pequeño tamaño es una pieza de malware bastante compleja y cuenta con técnicas de ofuscación que dificultan su análisis.

En su código base incluye código para ejecutar un servidor de comando y control. Así podrían convertir cualquier servidor que haya sido atacado previamente.

Hasta ahora no se pudo establecer el vector de ataque inicial que permitió a los atacantes obtener acceso administrativo para instalar Kobalos. Sin embargo, algunos de los sistemas comprometidos funcionan con sistemas operativos y software antiguos, no compatibles o sin parches, por lo que la explotación de una vulnerabilidad conocida es un escenario probable.

Kobalos también cifra el tráfico hacia y desde los atacantes. Para lograr esto, los clientes deben autenticarse usando una clave RSA-512 y una contraseña. La clave genera y cifra dos claves de 16 bytes que cifran la comunicación utilizando el cifrado de flujo RC4.

Además, la puerta trasera puede cambiar la comunicación a un puerto alternativo y actuar como un proxy (encadenable) para llegar a otros servidores comprometidos.

Recomendaciones

  • Mantener actualizados los sistemas operativos.
  • Utilizar soluciones de antivirus para detectar el malware y sus actividades sospechosas.
  • Configurar la autenticación de dos factores para conectarse a servidores SSH.
  • Analizar el tráfico de red buscando tráfico que no sea SSH en el puerto atribuido a un servidor SSH.
  • Revisar una lista completa de indicadores de compromiso y muestras en: repositorio.

Referencias


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11