一个新的后门通过使用木马化版本的OpenSSH软件窃取用于安全网络连接的凭据,将目标对准了世界各地的超级计算机。该恶意软件并未广泛用于各种计算设备,主要针对学术和研究网络中的高性能计算机(HPC)和服务器。跨平台、备受瞩目的攻击目标数字安全公司ESET的安全研究人员发现了该恶意软件,该恶意软件以希腊神话中喜欢欺骗和威胁凡人的生物Kobalos命名。ESET表示,Kobalos有一个小而复杂的代码库,可以在UNIX和类UNIX平台上执行。ESET在分析过程中还发现,该恶意程序在AIX和Windows操作系统上也可能存在变种。在为恶意软件创建“软件指纹”后,ESET会对整个互联网进行扫描,以查找受Kobalos感染的用户。他们发现许多受感染者是学术和研究环境中的超级计算机和服务器。其他受影响的公司包括北美的软件安全供应商、亚洲的大型ISP、营销机构和托管服务提供商。ESET无法建立初始攻击向量,使黑客能够获得管理权限来安装Kobalos。然而,这些受恶意软件影响的系统的一个共同点是它们运行的??是较旧的、非官方支持或未打补丁的操作系统和软件,这使它们更容易受到攻击。窃取SSH凭据尽管研究人员已花费数月时间分析该恶意软件,但由于包含通用命令且没有特定负载,他们迄今为止无法确定其确切目的。随着调查的深入,他们还发现Kobalos自2019年底以来一直在积极攻击超级计算机。但到目前为止,还没有发现任何试图挖掘数字货币或运行计算密集型任务的行为。Kobalos提供对文件系统的远程访问,它可以生成终端会话,允许攻击者运行任意命令。研究人员认为,凭据窃取可以解释恶意软件如何传播到同一网络或学术域网络中的其他系统,因为来自多所大学的学生和研究人员通常可以通过SSH访问超级计算机集群。小巧但复杂的后门Kobalos非常轻巧,32/64位样本大小仅为24KB,但它是一种复杂的恶意软件,具有自定义混淆和反取证技术,这阻碍了研究机构对其进行检测分析,体积小但功能丰富。使Kobalos脱颖而出的一个有趣特性是,它的代码被捆绑到一个函数中,只需调用一次合法的OpenSSH代码。然而,它有一个非线性控制流程,递归调用函数来执行子任务——总共支持37种操作,其中一种将任何受感染的机器变成其他机器的命令和控制(C2)服务器。ESET已通知所有受Kobalos影响的公司或机构,ESET将与他们合作确定并解决问题。本文转自OSCHINA标题:NewLinuxMalwareStealsSSHCredentialsfromSupercomputers地址:https://www.oschina.net/news/129286/new-linux-malware-steals-ssh-credentials-from-supercomputers
