Eset-Mitarbeiter enthüllen die Multiplattform-Schädling, der High-Performance-Systeme attackiert Malware Kobalos narrt HPC-Cluster

Redakteur: Ulrike Ostler

Forscher des Anbieters von Sicherheitssoftware Eset, haben eine Malware analysiert, die unter anderem auf HPC-Cluster (HPC = High Performance Computing). Sie haben die kleine, aber komplexe Malware rückentwickelt, die auf viele Betriebssysteme wie Linux, BSD, Solaris und möglicherweise AIX und Windows portierbar ist.

Firmen zum Thema

Die häufigste Art für Kobalos Systeme zu kompromittieren besteht darin, in die ausführbare OpenSSH-Serverdatei (sshd) eingebettet zu sein, die einen Backdoor-Code auslöst, wenn eine Verbindung über einen bestimmten TCP-Quellport zustande kommt.
Die häufigste Art für Kobalos Systeme zu kompromittieren besteht darin, in die ausführbare OpenSSH-Serverdatei (sshd) eingebettet zu sein, die einen Backdoor-Code auslöst, wenn eine Verbindung über einen bestimmten TCP-Quellport zustande kommt.
(Bild: Brian McGowan aufUnsplash)

„Aufgrund ihrer winzigen Codegröße und vieler Tricks haben wir diese Malware `Kobalos´ benannt,“ schreibt Marc-Etienne M. Léveillé auf der Eset-Site. In der griechischen Mythologie sei ein Kobalos eine kleine, schelmische Kreatur. „Dieser Grad an Raffinesse ist bei Linux-Malware nur selten zu beobachten.“ In der Veröffentlichung „A wild Kobalos appears: Tricksy Linux malware goes after HPCs“, ist nun die Funktionsweise dieser Bedrohung beschrieben.

Marc-Etienne M.Léveillé ist Senior Malware-Forscher bei Eset.
Marc-Etienne M.Léveillé ist Senior Malware-Forscher bei Eset.
(Bild: Eset)

Laut Léveillé handelt es sich bei Kobalos um eine „generische Hintertür“. Kobalos gewährt Remotezugriff auf das Dateisystem, bietet die Möglichkeit Terminalsitzungen zu erzeugen, und erlaubt Proxy-Verbindungen zu anderen mit Kobalos infizierten Servern.

Unklar sei jedoch, welche Absichten hinter den Angriffen mit Kobalos stehen, so Léveillé. So ist auch nicht nachvollziehbar, welche Vorfälle, insbesondere mit Krypto-Miner, etwa mit den aufgespürten Sicherheitsvorfällen vom vergangenen Jahr, die im Gutachten des European Grid Infrastructure (EGI) Computer Security Incident Response Team (CSIRT) veröffentlicht wurden, mit der Kobold-Malware in Verbindung stehen. „Obwohl wir wissen, dass Kobalos große HPC-Cluster kompromittiert hat, konnte niemand die Kobalos-Vorfälle mit dem Einsatz von Kryptowährungs-Malware in Verbindung bringen“, schreibt Léveillé.

Klar ist aber, dass Kobalos nicht ausschließlich auf HPCs abzielt: Zum Beispiel war ein großer asiatischer Internet Service Provider, ein nordamerikanischer Endpoint Security-Anbieter sowie einige einfache Server ebenfalls von dieser Bedrohung betroffen. In Zusammenarbeit mit dem CERN Computer Security Team und anderen Organisationen t, die an der Abwehr von Angriffen auf wissenschaftliche Forschungsnetzwerke beteiligt sind, steht aber fest, dass dem Einsatz von Kobalos andere Vorfälle vorausgegangen sind.

Die Hintertür

Außerdem haben die Forscher herausgefunden, dass es manchmal möglich ist, eine Systemkompromittierung aus der Ferne zu erkennen, indem über einen bestimmten TCP-Quellport eine Verbindung zum SSH-Server herstellt wird. Mit diesem Wissen haben die Eset-Forscher im Internet potenzielle Opfern aufspüren und über die Bedrohung verständigen können.

Übersicht über Kobalos-Funktionen und Zugriffsmöglichkeiten
Übersicht über Kobalos-Funktionen und Zugriffsmöglichkeiten
(Bild: Eset)

Es gibt mehrere Möglichkeiten für die Hintermänner, einen mit Kobalos infizierten Computer zu erreichen. Die Methode, die am häufigsten auftaucht, besteht darin, dass Kobalos in die ausführbare OpenSSH-Serverdatei (sshd) eingebettet ist und den Backdoor-Code auslöst, wenn die Verbindung von einem bestimmten TCP-Quellport kommt. Außerdem gibt es andere eigenständige Varianten, die nicht in sshd eingebettet sind. Diese Varianten stellen entweder eine Verbindung zu einem C&C-Server her, der als Mittelsmann fungiert, oder sie warten auf eine eingehende Verbindung an einem bestimmten TCP-Port.

Was Kobalos einzigartig macht, ist laut Léveillé die Tatsache, dass sich der Code zum Ausführen eines Command-and-Control-Servers (C&C Server) in Kobalos selbst befindet. Jeder von Kobalos kompromittierte Server lässt sich von den Bedienern, die einen einzigen Befehl senden, in einen solchen C&C-Server umwandeln. Da die IP-Adressen und Ports in der ausführbaren Datei fest codiert sind, können die Bediener neue Kobalos-Beispiele generieren, die diesen neuen C&C-Server verwenden.

Der Handlanger

Wie Léveillé schreibt, ist in den meisten von Kobalos kompromittierten Systemen der SSH-Client kompromittiert, um Anmeldeinformationen zu stehlen. „Dieser Stealer für Anmeldeinformationen unterscheidet sich von allen schädlichen OpenSSH-Clients, die wir bis jetzt gesehen haben, und wir haben in den letzten acht Jahren viele davon gesehen.“

Er nennt es „Raffinesse“. Die Raffinesse dieser Komponente sei jedoch nicht die gleiche wie bei Kobalos selbst: „Es wurde kein Wert daraufgelegt, frühe Varianten des Stealers zu verschleiern.“ Beispielsweise wurden Zeichenfolgen unverschlüsselt gelassen und gestohlene Benutzernamen und Kennwörter werden einfach in eine Datei auf der Festplatte geschrieben. Allerdings gibt es neues Varianten, die „eine gewisse Verschleierung“ enthalten und die Möglichkeit bieten, Anmeldeinformationen über das Netzwerk zu filtern.

Die Anwesenheit dieses Stealers gibt einen Hinweis darauf, wie sich Kobalos verbreitet. Jedem, der den SSH-Client eines kompromittierten Computers verwendet, werden die Anmeldeinformationen gestohlen. Diese Anmeldeinformationen können dann von den Angreifern verwendet werden, um Kobalos später auf dem neu entdeckten Server zu installieren.

Wie sich Kobalos versteckt

Jedenfalls macht Kobalos es seinen Ermittlern schwer; denn die Analyse von Kobalos „ist nicht so trivial wie bei anderer Linux-Malware, da der gesamte Code in einer einzigen Funktion gespeichert ist, die sich rekursiv selbst aufruft, um Unteraufgaben auszuführen“, berichtet Léveillé. Darüber hinaus seien alle Zeichenfolgen verschlüsselt, was erschwert, den Schadcode zu finden.

Ein Kontrollflussdiagramm von Kobalos
Ein Kontrollflussdiagramm von Kobalos
(Bild: Eset)

Der Autor setzt hinzu: „Die Verwendung der Hintertür erfordert einen privaten 512-Bit-RSA-Schlüssel und ein 32 Byte langes Kennwort. Nach der Authentifizierung werden RC4-Schlüssel ausgetauscht und die weitere Kommunikation damit verschlüsselt.“

Die Gegenwehr

Mittlerweile erkennen Eset-Produkte die Kobalos-Malware als Linux/Kobalos oder Linux/Agent.IV. Der Stealer für SSH-Anmeldeinformationen wird als Linux/SSHDoor.EV, Linux/SSHDoor.FB oder Linux/SSHDoor.FC identifiziert. Eine YARA-Regel ist auch im Malware-ioc-Repository von Eset auf Github verfügbar.

Aus Netzwerksicht ist es möglich, Kobalos zu erkennen, indem auf den dem SSH-Server zugeordneten Ports nach Nicht-SSH-Verkehr sucht. Wenn die Kobalos-Backdoor mit einem Betreiber kommuniziert, wird weder vom Client noch vom Server ein SSH-Banner (SSH-2.0-…) ausgetauscht.

Das Sequenzdiagramm fasst das Netzwerkprotokoll zusammen.
Das Sequenzdiagramm fasst das Netzwerkprotokoll zusammen.
(Bild: Eset)

Eine Zwei-Faktor-Authentifizierung (2FA) für die Verbindung mit SSH-Servern hätte die Bedrohung mindern können, rügt Léveillé und mahnt an, eine solche einzurichten. Denn Kobalos sei „überdurchschnittlich weit fortgeschritten“ und große Unternehmen noch eine ganze Weile gefährdet.

Hinweise:

  • Eine umfassende Liste von Kompromissindikatoren (IoCs) und Samples finden sich Eset-Github-Repository.
  • Die Eset-Forscher möchten zudem die Arbeit von Maciej Kotowicz vom MalwareLab.plhervorheben, der Kobalos unabhängig analysiert hat und mit dem Ergebnisse gegenseitig ausgetauscht worden sind.

(ID:47111372)