在最近發布的報告中, “ ESET”安全研究人員分析了惡意軟件 它主要針對高性能計算機(HPC),大學和研究網絡服務器。
使用逆向工程 發現一個新的後門針對了全世界的超級計算機,通常會使用受感染的OpenSSH軟件竊取憑據以實現安全的網絡連接。
“我們對這種小型但複雜的惡意軟件進行了反向工程,該惡意軟件可移植到許多操作系統(包括Linux,BSD和Solaris)中。
掃描過程中發現的一些工件表明AIX和Windows操作系統可能也有所不同。
我們將其稱為Kobalos惡意軟件,是因為其代碼量小且技巧很多”,
“我們與歐洲核子研究組織的計算機安全團隊以及其他參與打擊科學研究網絡攻擊的組織合作。 根據他們的說法,使用Kobalos惡意軟件是創新的“
OpenSSH(OpenBSD安全外殼)是一組免費的計算機工具,允許使用SSH協議在計算機網絡上進行安全通信。 加密所有流量,以消除連接劫持和其他攻擊。 此外,OpenSSH提供了各種身份驗證方法和復雜的配置選項。
關於科巴洛斯
根據該報告的作者, Kobalos並非專門針對HPC。 儘管許多受感染的系統 學術界和研究界的超級計算機和服務器, 亞洲的互聯網提供商,北美的安全服務提供商以及一些個人服務器也受到了這種威脅的威脅。
Kobalos是通用後門, 因為它包含的命令不會透露黑客的意圖,此外 允許遠程訪問文件系統,提供打開終端會話的功能,並允許代理連接 到感染了Kobalos的其他服務器。
儘管Kobalos設計很複雜,但功能有限 幾乎完全與通過後門的隱蔽通道有關。
一旦完全部署,該惡意軟件即授予對受感染系統文件系統的訪問權限,並允許訪問使攻擊者能夠執行任意命令的遠程終端。
運行方式
在某種方式, 該惡意軟件充當打開TCP端口的被動植入 在受感染的計算機上,並等待黑客的傳入連接。 另一種模式允許惡意軟件將目標服務器轉變為其他感染了Kobalos的設備所連接的命令和控制(CoC)服務器。 受感染的計算機還可以用作代理,以連接到其他受惡意軟件破壞的服務器。
一個有趣的功能 該惡意軟件與眾不同的是 您的代碼打包到一個函數中,並且您僅從合法的OpenSSH代碼中得到一個調用。 但是,它具有非線性控制流,因此遞歸調用此函數來執行子任務。
研究人員發現,遠程客戶端有三種連接到Kobalos的選項:
- 打開TCP端口並等待傳入連接(有時稱為“被動後門”)。
- 連接到另一個配置為充當服務器的Kobalos實例。
- 期望連接到已經在運行但來自特定源TCP端口(正在運行OpenSSH服務器感染)的合法服務。
雖然 黑客有幾種方法可以感染受感染的計算機 用Kobalos,方法 最常用的是在服務器可執行文件中嵌入了惡意軟件時 如果連接來自特定的TCP源端口,則OpenSSH並激活後門代碼。
惡意軟件還對與黑客之間的通信進行加密,為此,黑客必須使用RSA-512密鑰和密碼進行身份驗證。 該密鑰生成並加密兩個16字節密鑰,這些密鑰使用RC4加密對通信進行加密。
同樣,後門可以將通信切換到另一個端口,並充當到達其他受損服務器的代理。
鑑於其小的代碼庫(僅24 KB)和效率,ESET聲稱Kobalos的複雜性“在Linux惡意軟件中很少見”。
來源: https://www.welivesecurity.com