Kobalos Malware Kecil Bernafsu Besar
Peneliti ESET telah menganalisis malware yang menargetkan cluster komputasi kinerja tinggi (HPC) di antara target profil tinggi lainnya.
ESET merekayasa balik sebuah malware kecil namun kompleks, malware yang portabel ke banyak sistem operasi termasuk Linux, BSD, Solaris, dan mungkin AIX dan Windows. ESET menamai malware ini Kobalos karena ukuran kodenya yang kecil dan memiliki banyak trik, seperti Kobalos, makhluk kecil yang nakal dalam mitologi Yunani.
ESET bekerja sama dengan Tim Keamanan Komputer CERN dan organisasi lain yang terlibat dalam mitigasi serangan terhadap jaringan penelitian ilmiah. Menurut mereka, penggunaan malware Kobalos mendahului insiden lainnya yang menyerang HPC.
ESET juga tahu bahwa Kobalos tidak secara eksklusif menargetkan HPC, ESET menemukan bahwa ISP Asia yang besar, vendor endpoint protection Amerika Utara, serta beberapa server pribadi juga diretas oleh ancaman ini.
Analisis menyeluruh terhadap Kobalos mengungkapkan bahwa terkadang dimungkinkan untuk menentukan dari jarak jauh apakah suatu sistem disusupi dengan menyambungkan ke server SSH menggunakan port sumber TCP tertentu.
Menggunakan pengetahuan itu, para peneliti ESET memindai internet untuk menemukan calon korban. ESET dapat mengidentifikasi beberapa target Kobalos, termasuk sistem HPC.
ESET menginformasikan semua korban yang diidentifikasi dan bekerja sama dengan mereka untuk memulihkan perangkatnya.
Backdoor
Kobalos adalah backdoor umum dalam arti berisi perintah luas yang tidak mengungkapkan maksud pelaku. Singkatnya, Kobalos memberikan akses jarak jauh ke sistem file, memberikan kemampuan untuk menelurkan sesi terminal, dan memungkinkan koneksi proxy ke server lain yang terinfeksi Kobalos.
Sesuatu yang membuat Kobalos unik adalah fakta bahwa kode untuk menjalankan server C&C ada di Kobalos itu sendiri. Server apa pun yang dikompromikan oleh Kobalos dapat diubah menjadi server C&C oleh operator yang mengirimkan satu perintah. Karena alamat IP dan port server C&C di-hardcode ke dalam executable, operator kemudian dapat membuat sampel Kobalos baru yang menggunakan server C&C baru ini.
Pencuri kredensial
Di sebagian besar sistem yang dikompromikan oleh Kobalos, klien SSH dikompromikan untuk mencuri kredensial. Pencuri kredensial ini tidak seperti klien OpenSSH berbahaya mana pun yang pernah terlihat sebelumnya, dan ESET telah memeriksanya puluhan dalam delapan tahun terakhir.
Kecanggihan komponen ini tidak sama dengan Kobalos itu sendiri, tidak ada upaya untuk mengaburkan varian awal pencuri kredensial. Misalnya, string dibiarkan tidak terenkripsi dan nama pengguna serta kata sandi yang dicuri hanya ditulis ke file di disk. Namun, eset menemukan varian baru yang berisi beberapa penyamaran dan kemampuan untuk mengekstrak kredensial melalui jaringan.
Kehadiran pencuri kredensial ini sebagian dapat menjawab bagaimana Kobalos menyebar. Siapa pun yang menggunakan klien SSH dari mesin yang disusupi akan menybabkan kredensial mereka dicuri. Kredensial tersebut kemudian dapat digunakan oleh pelaku untuk menginstal Kobalos di server yang baru ditemukan nanti.
Bagaimana Kobalos bersembunyi
Menganalisis Kobalos tidak sepele seperti kebanyakan malware Linux karena semua kodenya disimpan dalam satu fungsi yang secara rekursif atau berulang memanggil dirinya sendiri untuk melakukan subtugas.
Ini membuatnya lebih menantang untuk dianalisis. Selain itu, semua string dienkripsi sehingga lebih sulit menemukan kode berbahaya daripada saat melihat sampel secara statis.
Penggunaan backdoor membutuhkan kunci RSA 512-bit private dan kata sandi sepanjang 32-byte. Setelah diautentikasi, kunci RC4 dipertukarkan dan komunikasi lainnya dienkripsi dengannya.
Menanggulangi Kobalos
Produk ESET mendeteksi malware Kobalos sebagai Linux/Kobalos atau Linux/Agent.IV. Pencuri kredensial SSH terdeteksi sebagai Linux/SSHDoor.EV, Linux/SSHDoor.FB, atau Linux/SSHDoor.FC.
ESET telah menyarankan sebelum menyiapkan otentikasi dua faktor (2FA) untuk menghubungkan ke server SSH. Kobalos adalah kasus lain di mana 2FA dapat mengurangi ancaman, karena penggunaan kredensial yang dicuri tampaknya menjadi salah satu cara yang dapat disebarkannya ke sistem yang berbeda.
