一個新的后門程序已經(jīng)瞄準(zhǔn)了全世界的超級計算機，其通過使用木馬版本的 OpenSSH 軟件來竊取用于安全網(wǎng)絡(luò)連接的憑證。該惡意軟件并不廣泛作用于各類計算機設(shè)備，主要針對學(xué)術(shù)和研究網(wǎng)絡(luò)中的高性能計算機(HPC)和服務(wù)器。

跨平臺，引人注目的攻擊目標(biāo)

數(shù)字安全公司 ESET 的安全研究人員發(fā)現(xiàn)了該惡意軟件，并以希臘神話中喜歡欺騙和威脅凡人的生物 Kobalos 的名字進行命名。

ESET 表示 Kobalos 有一個很小但很復(fù)雜的代碼庫，可以在 UNIX 及類 UNIX 平臺上執(zhí)行。在分析過程中 ESET 還發(fā)現(xiàn)，該惡意程序在 AIX 和 Windows 操作系統(tǒng)也可能存在變體。

在為惡意軟件創(chuàng)建「軟件指紋」后，ESET 運行針對整個互聯(lián)網(wǎng)的掃描以找到受 Kobalos 威脅的用戶。他們發(fā)現(xiàn)，許多受感染的都是學(xué)術(shù)和研究領(lǐng)域的超級計算機和服務(wù)器。其他受影響的包括北美一家軟件安全供應(yīng)商、亞洲一家大型ISP、營銷機構(gòu)和托管服務(wù)提供商。

ESET 無法建立初始攻擊媒介以便允許黑客獲得管理權(quán)限來安裝 Kobalos。但是，這些受惡意軟件影響的系統(tǒng)都有一個共同特點，就是運行著老舊、不受官方支持或未打補丁的操作系統(tǒng)和軟件，因此更易受到影響。

竊取 SSH 憑證

盡管研究人員花費了數(shù)月時間分析該惡意軟件，但由于所包含的通用命令且沒有特定的有效負載，因此他們至今無法確定其確切目的。并且隨著調(diào)查深入，他們還發(fā)現(xiàn)自 2019 年底以來，在針對超級計算機的攻擊中 Kobalos 一直處于活躍狀態(tài)。但到目前為止還沒有發(fā)現(xiàn)任何嘗試挖掘數(shù)字貨幣或運行計算量大的任務(wù)的嘗試。

Kobalos 提供了對文件系統(tǒng)的遠程訪問，它可以生成終端會話，這使攻擊者可以運行任意命令。研究人員認為，竊取憑證的行為可以解釋惡意軟件是如何傳播到同一網(wǎng)絡(luò)或?qū)W術(shù)領(lǐng)域網(wǎng)絡(luò)中的其他系統(tǒng)的，因為來自多所大學(xué)的學(xué)生和研究人員通?？梢酝ㄟ^ SSH 訪問超級計算機集群。

小巧，但復(fù)雜的后門

Kobalos 十分輕量，32/64位的樣本只有 24 KB的大小，但它卻是一種復(fù)雜的惡意軟件，具有自定義的混淆和反取證技術(shù)，阻礙了研究機構(gòu)對其進行分析，小小的體積卻具有豐富的功能。

一個使 Kobalos 脫穎而出的有趣功能是，它的代碼被捆綁到一個函數(shù)中，并且對合法 OpenSSH 代碼僅有一次調(diào)用。但是，它具有非線性控制流，遞歸地調(diào)用該函數(shù)來執(zhí)行子任務(wù)——總共支持37種操作，其中一個操作可以將任何受感染的機器變成其他機器的命令和控制(C2)服務(wù)器。

ESET 已通知所有受 Kobalos 影響的公司或機構(gòu)，ESET 將與他們共同合作來識別并解決該問題。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：新的 Linux 惡意軟件從超級計算機竊取 SSH 憑證

本文地址：https://www.oschina.net/news/129286/new-linux-malware-steals-ssh-credentials-from-supercomputers