Publicado el

¿Está realmente Linux en problemas con el malware Kobalos?

¿Quién está detrás de Kobalos? El nuevo malware para Linux

¿Quién se esconde detrás de este nuevo virus para Linux?

Leer esta nota hará que te preguntes: ¿Está linux en problemas?

Nadie habría podido imaginar que esto sería posible, ¿o sí?

Lo cierto es que ESET ha tenido un gran logro al descubrir este nuevo malware ¡y nada menos que en Linux!

La presencia del sistema operativo Linux en el mundo obtuvo el 100% de presencia en 2017 dentro del TOP500 de las más grandes supercomputadoras desplazando a otros sistemas gracias a las siguientes características:

  • Estabilidad
  • Seguridad
  • Manejo de Aplicaciones
  • Flexibilidad
  • Costos
  • Comunidad

La nota de ESET

BRATISLAVA, MONTREAL – Los investigadores de ESET descubrieron Kobalos, un malware que ha estado atacando supercomputadoras: clústeres de computadoras de alto rendimiento (HPC). 

ESET ha trabajado con el equipo de seguridad informática del CERN y otras organizaciones involucradas en la mitigación de ataques a estas redes de investigación científica. 

Entre otros objetivos, se encontraba un gran ISP asiático, un proveedor de seguridad de terminales de América del Norte, así como varios servidores privados.

Y volvemos sobre la pregunta: ¿Está linux en problemas?

¿Qué dicen los que saben?

Los investigadores de ESET han realizado ingeniería inversa para este malware pequeño pero complejo que es portátil para muchos sistemas operativos, incluidos Linux, BSD, Solaris y posiblemente AIX y Windows.

“Hemos llamado a este malware Kobalos por su pequeño tamaño de código y muchos trucos; en la mitología griega, un kobalos es una criatura pequeña y traviesa ”, explica Marc-Etienne Léveillé, quien investigó a Kobalos y agrega: “Hay que decir que este nivel de sofisticación solo se ve raramente en el malware de Linux”.

Kobalos es una puerta trasera que contiene comandos amplios que no revelan la intención de los atacantes. 

“En resumen, Kobalos otorga acceso remoto al sistema de archivos, brinda la capacidad de generar sesiones de terminal y permite conexiones de proxy a otros servidores infectados por Kobalos”, dijo Léveillé.

Pero aún no vemos a Linux en problemas, al menos no en su conjunto.

¿Qué es lo que está en juego?

Cualquier servidor comprometido por Kobalos puede convertirse en un servidor de Comando y Control (C&C) mediante el envío de un solo comando por parte de los operadores. 

Como las direcciones IP y los puertos del servidor C&C están codificados en el ejecutable, los operadores pueden generar nuevas muestras de Kobalos que utilizan este nuevo servidor C&C. 

Además, en la mayoría de los sistemas comprometidos por Kobalos, el cliente de comunicación segura (SSH) se ve comprometido a robar credenciales.

¿Cómo podría poner a Linux en problemas?

“Cualquiera que utilice el cliente SSH de una máquina comprometida tendrá sus credenciales capturadas. Los atacantes pueden utilizar esas credenciales para instalar Kobalos en el servidor recién descubierto más tarde » añade Léveillé. 

La configuración de la autenticación de dos factores para conectarse a servidores SSH mitigará la amenaza, ya que el uso de credenciales robadas parece ser una de las formas en que se puede propagar a diferentes sistemas.

Para obtener más detalles técnicos sobre Kobalos, lea la entrada de blog «Kobalos: una amenaza compleja de Linux para la infraestructura informática de alto rendimiento» en WeLiveSecurity

Código pequeño, objetivos grandes

Un análisis exhaustivo de Kobalos reveló que a veces es posible determinar de forma remota si un sistema está comprometido al conectarse al servidor SSH utilizando un puerto de origen TCP específico. Usando ese conocimiento, los investigadores de ESET escanearon Internet para encontrar víctimas potenciales. Pudimos identificar múltiples blancos de ataque de Kobalos, incluidos sistemas HPC.

Poniéndolo todo junto

La figura a continuación proporciona una descripción general de las diferentes características de Kobalos.

Descripción general de las funciones de Kobalos y formas de acceder a ellas.

La ofuscación, Linux en problemas

Aplanamiento de flujo de control excepcional

Lo que sí pone a Linux en problemas.

El hecho de que encaje en una sola función no significa que el flujo de control sea lineal; Kobalos llama de forma recursiva a esa función para realizar cualquier subtarea que necesite hacer. Para ello, la figura muestra el diagrama de flujo de control complejo de la función Kobalos:


El primer parámetro de la función es la acción a realizar. En realidad, el malware comprende 37 acciones. Se enumeran en el «Apéndice – Funciones integradas en Kobalos» para ayudar al análisis de las versiones existentes y posibles futuras de este malware.
Además de estas 37 acciones, la función también sirve como manejador de señales para que SIGCHLD permita que el proceso hijo termine correctamente y SIGALRM maneje el tiempo de espera de la conexión.
Desde el punto de vista del código fuente del malware, sería como compilar el siguiente código C.
Parte de esta transformación podría automatizarse con la función de integración de funciones del compilador.

Pero aún requiere trabajo manual o herramientas personalizadas para asignar un identificador numérico a cada función y manejar el mismo número de argumentos en todas las funciones. La siguiente figura muestra cómo podría verse el código fuente de C antes y después de que se aplique esta ofuscación.

Código C que muestra cómo puede verse la fuente de Kobalos después de realizar el aplanamiento del flujo de control

Para más información sobre las características anti-forenses de Kobalos y demás implicancias de seguridad, recomendamos leer el  white paper titulado “A wild Kobalos appears: Tricksy Linux malware goes after HPCs” que ESET publicó y que describe el funcionamiento interno de esta nueva amenaza.

Hasta la próxima nota!