Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Edukasi
  • Kobalos Malware Kecil Bernafsu Besar
  • Edukasi
  • Sektor Bisnis
  • Sektor Personal

Kobalos Malware Kecil Bernafsu Besar

3 min read

Credit image: Pixabay

Peneliti ESET telah menganalisis malware yang menargetkan cluster komputasi kinerja tinggi (HPC) di antara target profil tinggi lainnya.

ESET merekayasa balik sebuah malware kecil namun kompleks, malware yang portabel ke banyak sistem operasi termasuk Linux, BSD, Solaris, dan mungkin AIX dan Windows. ESET menamai malware ini Kobalos karena ukuran kodenya yang kecil dan memiliki banyak trik, seperti Kobalos, makhluk kecil yang nakal dalam mitologi Yunani.

ESET bekerja sama dengan Tim Keamanan Komputer CERN dan organisasi lain yang terlibat dalam mitigasi serangan terhadap jaringan penelitian ilmiah. Menurut mereka, penggunaan malware Kobalos mendahului insiden lainnya yang menyerang HPC.

ESET juga tahu bahwa Kobalos tidak secara eksklusif menargetkan HPC, ESET menemukan bahwa ISP Asia yang besar, vendor endpoint protection Amerika Utara, serta beberapa server pribadi juga diretas oleh ancaman ini.

Analisis menyeluruh terhadap Kobalos mengungkapkan bahwa terkadang dimungkinkan untuk menentukan dari jarak jauh apakah suatu sistem disusupi dengan menyambungkan ke server SSH menggunakan port sumber TCP tertentu.

Menggunakan pengetahuan itu, para peneliti ESET memindai internet untuk menemukan calon korban. ESET dapat mengidentifikasi beberapa target Kobalos, termasuk sistem HPC.

ESET menginformasikan semua korban yang diidentifikasi dan bekerja sama dengan mereka untuk memulihkan perangkatnya.

Backdoor

Kobalos adalah backdoor umum dalam arti berisi perintah luas yang tidak mengungkapkan maksud pelaku. Singkatnya, Kobalos memberikan akses jarak jauh ke sistem file, memberikan kemampuan untuk menelurkan sesi terminal, dan memungkinkan koneksi proxy ke server lain yang terinfeksi Kobalos.

Sesuatu yang membuat Kobalos unik adalah fakta bahwa kode untuk menjalankan server C&C ada di Kobalos itu sendiri. Server apa pun yang dikompromikan oleh Kobalos dapat diubah menjadi server C&C oleh operator yang mengirimkan satu perintah. Karena alamat IP dan port server C&C di-hardcode ke dalam executable, operator kemudian dapat membuat sampel Kobalos baru yang menggunakan server C&C baru ini.

Pencuri kredensial

Di sebagian besar sistem yang dikompromikan oleh Kobalos, klien SSH dikompromikan untuk mencuri kredensial. Pencuri kredensial ini tidak seperti klien OpenSSH berbahaya mana pun yang pernah terlihat sebelumnya, dan ESET telah memeriksanya puluhan dalam delapan tahun terakhir.

Kecanggihan komponen ini tidak sama dengan Kobalos itu sendiri, tidak ada upaya untuk mengaburkan varian awal pencuri kredensial. Misalnya, string dibiarkan tidak terenkripsi dan nama pengguna serta kata sandi yang dicuri hanya ditulis ke file di disk. Namun, eset menemukan varian baru yang berisi beberapa penyamaran dan kemampuan untuk mengekstrak kredensial melalui jaringan.

Kehadiran pencuri kredensial ini sebagian dapat menjawab bagaimana Kobalos menyebar. Siapa pun yang menggunakan klien SSH dari mesin yang disusupi akan menybabkan kredensial mereka dicuri. Kredensial tersebut kemudian dapat digunakan oleh pelaku untuk menginstal Kobalos di server yang baru ditemukan nanti.

Bagaimana Kobalos bersembunyi

Menganalisis Kobalos tidak sepele seperti kebanyakan malware Linux karena semua kodenya disimpan dalam satu fungsi yang secara rekursif atau berulang memanggil dirinya sendiri untuk melakukan subtugas.

Ini membuatnya lebih menantang untuk dianalisis. Selain itu, semua string dienkripsi sehingga lebih sulit menemukan kode berbahaya daripada saat melihat sampel secara statis.

Penggunaan backdoor membutuhkan kunci RSA 512-bit private dan kata sandi sepanjang 32-byte. Setelah diautentikasi, kunci RC4 dipertukarkan dan komunikasi lainnya dienkripsi dengannya.

Menanggulangi Kobalos

Produk ESET mendeteksi malware Kobalos sebagai Linux/Kobalos atau Linux/Agent.IV. Pencuri kredensial SSH terdeteksi sebagai Linux/SSHDoor.EV, Linux/SSHDoor.FB, atau Linux/SSHDoor.FC.

ESET telah menyarankan sebelum menyiapkan otentikasi dua faktor (2FA) untuk menghubungkan ke server SSH. Kobalos adalah kasus lain di mana 2FA dapat mengurangi ancaman, karena penggunaan kredensial yang dicuri tampaknya menjadi salah satu cara yang dapat disebarkannya ke sistem yang berbeda.

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikriShare ESET Kabalos pencuri Kredensial Malware Kobalos Malware Multi platform Malware Portabel Prosperita

Continue Reading

Previous: Malware Serang NoxPlayer Gamer Asia Jadi Sasaran
Next: Serba-serbi Emotet

Related Stories

Trik Phising Baru Blob URL Trik Phising Baru Blob URL
3 min read
  • Sektor Bisnis
  • Sektor Personal

Trik Phising Baru Blob URL

June 12, 2025
BladedFeline Mata-mata dalam Jaringan Kita BladedFeline Mata-mata dalam Jaringan Kita
2 min read
  • Sektor Bisnis

BladedFeline Mata-mata dalam Jaringan Kita

June 11, 2025
Ponsel Anda Dilacak Pahami Tandanya Apakah Ponsel Anda Dilacak? Ini Tandanya
3 min read
  • Mobile Security
  • Sektor Personal

Ponsel Anda Dilacak Pahami Tandanya

June 11, 2025

Recent Posts

  • Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan
  • Phising Cerdik Google Apps Script
  • Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis
  • Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal
  • Trik Phising Baru Blob URL
  • Lebih dari 84.000 Server Email Roundcube Berisiko Diserang
  • BladedFeline Mata-mata dalam Jaringan Kita
  • Ponsel Anda Dilacak Pahami Tandanya
  • ClickFix Memanfaatkan Perilaku Manusia
  • Ancaman Senyap yang Mengintai Kendali Sistem Anda (RAT)

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan
3 min read
  • Teknologi

Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan

June 13, 2025
Phising Cerdik Google Apps Script
3 min read
  • Teknologi

Phising Cerdik Google Apps Script

June 13, 2025
Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis
3 min read
  • Teknologi

Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis

June 13, 2025
Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal Memahami anatomi serangan siber metode para pelaku kejahatan
3 min read
  • Teknologi

Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal

June 12, 2025

Copyright © All rights reserved. | DarkNews by AF themes.