在最近发布的报告中, “ ESET”安全研究人员分析了恶意软件 它主要针对高性能计算机(HPC),大学和研究网络服务器。
使用逆向工程 发现一个新的后门针对了全世界的超级计算机,通常会使用受感染的OpenSSH软件窃取凭据以实现安全的网络连接。
“我们对这种小型但复杂的恶意软件进行了反向工程,可以将其移植到许多操作系统(包括Linux,BSD和Solaris)中。
扫描期间发现的一些工件表明AIX和Windows操作系统也可能有所不同。
我们将其称为Kobalos恶意软件,是因为其代码量小且技巧很多”,
“我们与欧洲核子研究组织的计算机安全团队以及其他参与打击科学研究网络攻击的组织合作。 根据他们的说法,使用Kobalos恶意软件是创新的“
OpenSSH(OpenBSD安全外壳)是一组免费的计算机工具,允许使用SSH协议在计算机网络上进行安全通信。 加密所有流量,以消除连接劫持和其他攻击。 此外,OpenSSH提供了各种身份验证方法和复杂的配置选项。
关于科巴洛斯
根据该报告的作者, Kobalos并非专门针对HPC。 尽管许多受感染的系统 学术界和研究界的超级计算机和服务器, 亚洲的互联网提供商,北美的安全服务提供商以及一些个人服务器也受到了这种威胁的威胁。
Kobalos是通用后门, 因为它除了包含不透露黑客意图的命令之外, 允许远程访问文件系统,提供打开终端会话的功能,并允许代理连接 到感染了Kobalos的其他服务器。
尽管Kobalos设计很复杂,但功能有限 几乎完全与通过后门的隐蔽通道有关。
一旦完全实施,该恶意软件即授予对受感染系统文件系统的访问权限,并允许访问使攻击者能够执行任意命令的远程终端。
运行方式
在某种方式, 恶意软件充当打开TCP端口的被动植入 在受感染的计算机上,并等待黑客的传入连接。 另一种模式允许恶意软件将目标服务器转变为其他感染了Kobalos的设备所连接的命令和控制(CoC)服务器。 受感染的计算机还可以用作代理,以连接到受恶意软件破坏的其他服务器。
一个有趣的功能 该恶意软件与众不同的是 您的代码打包到一个函数中,并且您仅从合法的OpenSSH代码中得到一个调用。 但是,它具有非线性控制流,因此递归调用此函数来执行子任务。
研究人员发现,远程客户端有三种连接到Kobalos的选项:
- 打开TCP端口并等待传入连接(有时称为“被动后门”)。
- 连接到另一个配置为充当服务器的Kobalos实例。
- 期望连接到已经在运行但来自特定源TCP端口的合法服务(正在运行OpenSSH服务器感染)。
虽然 黑客有几种方法可以感染受感染的计算机 用Kobalos,方法 最常用的是将恶意软件嵌入服务器可执行文件中时 如果连接来自特定的TCP源端口,则OpenSSH并激活后门代码。
恶意软件还对与黑客之间的通信进行加密,为此,黑客必须使用RSA-512密钥和密码进行身份验证。 该密钥生成并加密两个16字节密钥,这些密钥使用RC4加密对通信进行加密。
同样,后门可以将通信切换到另一个端口,并充当到达其他受损服务器的代理。
鉴于其小的代码库(仅24 KB)和效率,ESET声称Kobalos的复杂性“在Linux恶意软件中很少见”。
数据来源: https://www.welivesecurity.com