安全動(dòng)態(tài)

全球超級(jí)計(jì)算機(jī)的“通用后門”曝光,來(lái)自一個(gè)小型惡意軟件

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-02-03    瀏覽次數(shù):
 

信息來(lái)源:Freebuf

Kobalos惡意軟件的代碼庫(kù)很小,但它瞄準(zhǔn)的對(duì)象卻是全球超級(jí)計(jì)算機(jī)。

顯然,這是一個(gè)此前未被記錄的惡意軟件,被發(fā)現(xiàn)后,該惡意軟件被命名為Kobalos——來(lái)自希臘神話中的一個(gè)小精靈,喜歡惡作劇和欺騙凡人。

受感染組織的行業(yè)和區(qū)域分布

Kobalos的活動(dòng)可以追溯到2019年末,并且在2020年持續(xù)活躍。從某種意義上說(shuō),Kobalos是一個(gè)通用的后門,因?yàn)樗藦V泛命令,也因此無(wú)法得知攻擊者的真正意圖。不過(guò),至少可以確認(rèn),目前攻擊者并沒有利用受感染的超級(jí)計(jì)算機(jī)進(jìn)行加密貨幣挖掘。

Kobalos本質(zhì)上是一個(gè)后門,一旦該惡意軟件安裝到超級(jí)計(jì)算機(jī)上,惡意代碼就會(huì)將自己隱藏在OpenSSH服務(wù)器可執(zhí)行文件中,如果通過(guò)特定的TCP源端口進(jìn)行調(diào)用,就會(huì)觸發(fā)后門。此外,Kobalos允許其攻擊者遠(yuǎn)程訪問(wèn)文件系統(tǒng),生成終端會(huì)話,并且還充當(dāng)連接其他感染惡意軟件的服務(wù)器的連接點(diǎn)。

從影響范圍來(lái)看,Kobalos的代碼庫(kù)雖然很小,但很復(fù)雜,至少可以影響Linux、BSD和Solaris操作系統(tǒng),并且有理由懷疑它可能與針對(duì)AIX和Microsoft Windows機(jī)器的攻擊類似。在攻擊目標(biāo)上,集中高性能計(jì)算集群(HPC),端點(diǎn)安全解決方案提供商,政府機(jī)構(gòu)、北美的個(gè)人服務(wù)器、大學(xué)、歐洲的托管公司以及亞洲的主要ISP。


Kobalos功能概述和訪問(wèn)方式

不得不說(shuō),這種復(fù)雜程度在Linux惡意軟件中很少見。而從該惡意軟件的眾多完備功能以及網(wǎng)絡(luò)規(guī)避技術(shù)來(lái)看,Kobalos并不像大多數(shù)Linux惡意軟件那樣瑣碎,它的所有代碼都保存在一個(gè)函數(shù)中,該函數(shù)遞歸調(diào)用自身來(lái)執(zhí)行子任務(wù),此外,所有字符串均已加密,因此與靜態(tài)查看樣本相比,查找惡意代碼更加困難。目前,Kobalos可能在低調(diào)運(yùn)行,并且不斷改進(jìn)能力。

IOC

1612321739_601a13cb1c70f635fa34c.png!small?1612321740728

1612321751_601a13d768288a28e010e.png!small?1612321752989

參考來(lái)源

https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/

 
 

上一篇:2021年2月2日聚銘安全速遞

下一篇:隱私和安全措施對(duì)于大流行后的恢復(fù)至關(guān)重要