一個(gè)新的后門(mén)程序已經(jīng)瞄準(zhǔn)了全世界的超級(jí)計(jì)算機(jī)，其通過(guò)使用木馬版本的 OpenSSH 軟件來(lái)竊取用于安全網(wǎng)絡(luò)連接的憑證。該惡意軟件并不廣泛作用于各類(lèi)計(jì)算機(jī)設(shè)備，主要針對(duì)學(xué)術(shù)和研究網(wǎng)絡(luò)中的高性能計(jì)算機(jī)(HPC)和服務(wù)器。

跨平臺(tái)，引人注目的攻擊目標(biāo)

數(shù)字安全公司 ESET 的安全研究人員發(fā)現(xiàn)了該惡意軟件，并以希臘神話(huà)中喜歡欺騙和威脅凡人的生物 Kobalos 的名字進(jìn)行命名。

ESET 表示 Kobalos 有一個(gè)很小但很復(fù)雜的代碼庫(kù)，可以在 UNIX 及類(lèi) UNIX 平臺(tái)上執(zhí)行。在分析過(guò)程中 ESET 還發(fā)現(xiàn)，該惡意程序在 AIX 和 Windows 操作系統(tǒng)也可能存在變體。

在為惡意軟件創(chuàng)建「軟件指紋」后，ESET 運(yùn)行針對(duì)整個(gè)互聯(lián)網(wǎng)的掃描以找到受 Kobalos 威脅的用戶(hù)。他們發(fā)現(xiàn)，許多受感染的都是學(xué)術(shù)和研究領(lǐng)域的超級(jí)計(jì)算機(jī)和服務(wù)器。其他受影響的包括北美一家軟件安全供應(yīng)商、亞洲一家大型ISP、營(yíng)銷(xiāo)機(jī)構(gòu)和托管服務(wù)提供商。

ESET 無(wú)法建立初始攻擊媒介以便允許黑客獲得管理權(quán)限來(lái)安裝 Kobalos。但是，這些受惡意軟件影響的系統(tǒng)都有一個(gè)共同特點(diǎn)，就是運(yùn)行著老舊、不受官方支持或未打補(bǔ)丁的操作系統(tǒng)和軟件，因此更易受到影響。

竊取 SSH 憑證

盡管研究人員花費(fèi)了數(shù)月時(shí)間分析該惡意軟件，但由于所包含的通用命令且沒(méi)有特定的有效負(fù)載，因此他們至今無(wú)法確定其確切目的。并且隨著調(diào)查深入，他們還發(fā)現(xiàn)自 2019 年底以來(lái)，在針對(duì)超級(jí)計(jì)算機(jī)的攻擊中 Kobalos 一直處于活躍狀態(tài)。但到目前為止還沒(méi)有發(fā)現(xiàn)任何嘗試挖掘數(shù)字貨幣或運(yùn)行計(jì)算量大的任務(wù)的嘗試。

Kobalos 提供了對(duì)文件系統(tǒng)的遠(yuǎn)程訪(fǎng)問(wèn)，它可以生成終端會(huì)話(huà)，這使攻擊者可以運(yùn)行任意命令。研究人員認(rèn)為，竊取憑證的行為可以解釋惡意軟件是如何傳播到同一網(wǎng)絡(luò)或?qū)W術(shù)領(lǐng)域網(wǎng)絡(luò)中的其他系統(tǒng)的，因?yàn)閬?lái)自多所大學(xué)的學(xué)生和研究人員通常可以通過(guò) SSH 訪(fǎng)問(wèn)超級(jí)計(jì)算機(jī)集群。

小巧，但復(fù)雜的后門(mén)

Kobalos 十分輕量，32/64位的樣本只有 24 KB的大小，但它卻是一種復(fù)雜的惡意軟件，具有自定義的混淆和反取證技術(shù)，阻礙了研究機(jī)構(gòu)對(duì)其進(jìn)行分析，小小的體積卻具有豐富的功能。

一個(gè)使 Kobalos 脫穎而出的有趣功能是，它的代碼被捆綁到一個(gè)函數(shù)中，并且對(duì)合法 OpenSSH 代碼僅有一次調(diào)用。但是，它具有非線(xiàn)性控制流，遞歸地調(diào)用該函數(shù)來(lái)執(zhí)行子任務(wù)——總共支持37種操作，其中一個(gè)操作可以將任何受感染的機(jī)器變成其他機(jī)器的命令和控制(C2)服務(wù)器。

ESET 已通知所有受 Kobalos 影響的公司或機(jī)構(gòu)，ESET 將與他們共同合作來(lái)識(shí)別并解決該問(wèn)題。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：新的 Linux 惡意軟件從超級(jí)計(jì)算機(jī)竊取 SSH 憑證

本文地址：https://www.oschina.net/news/129286/new-linux-malware-steals-ssh-credentials-from-supercomputers