当前位置: 首页 > 科技观察

Kobalos:专门攻击超级计算机的Linux恶意软件

时间:2023-03-11 23:41:16 科技观察

近日,ESET研究人员发现了一种专门攻击超级计算机的恶意软件——Kobalos,它自2019年以来一直在攻击全球的超级计算机——高性能计算机(HPC)集群,目标包括大型互联网ISP在亚洲,欧洲大学、北美终端安全供应商、私人服务器和政府机构的高性能计算网络(下图)。Kobalos已知攻击目标的行业和地理分布研究人员指出,Kobalos是一个非常“小”但非常复杂的程序,可以在其他UNIX平台(FreeBSD、Solaris)上执行。在分析过程中,发现AIX和Windows操作系统也可能存在Kobalos的变种。在过去的一年里,发生了多起涉及HPC集群的安全事件,其中最受媒体关注的事件是去年5月SecurityBull报道的席卷全球的超级计算机感染门罗币挖矿软件事件,根据欧洲电网基础设施(EGI)CSIRT发布的报告,包括波兰、加拿大、德国、西班牙和中国在内的多个超级计算中心都受到了影响。同样在5月,英国的ARCHER超级计算机遭到黑客攻击以窃取SSH凭据。与已经报告的对超级计算机网络的攻击不同,受感染系统的管理员没有检测到Kobalos试图挖掘加密货币或运行计算密集型任务的任何尝试。事实上,Kobalos恶意软件的最新曝光早于去年其他主要超级计算中心安全事件(始于2019年)。在周二发布的一份分析报告中,ESET表示,研究人员将恶意软件命名为Kobalos,因为“它的代码很小但非常复杂,并且包含许多高级技巧。”Kobalos这个名字来自希腊神话。Kobalos是Dionysus的伙伴,Dionysus是一群以欺骗和恐吓凡人而闻名的恶作剧精灵。调查该恶意软件的Marc-EtienneLéveillé解释说:“我们将此恶意软件称为Kobalos,因为它的代码量小且技巧多。必须承认,这种复杂程度在Linux恶意软件中是无与伦比的。很少见。“Kobalos的32/64位样本只有24KB大小,但它使用了高度定制的混淆和检测规避技术,并在一个小小的“身体”中集成了许多其他功能。例如,由于C2服务器IP地址和端口被阻止硬编码到可执行文件中,恶意软件操作者只需发送一条命令即可将任何受Kobalos感染的服务器变成C2服务器。此外,Kobalos还可以用作连接其他受感染服务器的代理,这意味着攻击者可以使用多台感染Kobalos的机器来达到目的,如前所述,攻击者可以通过三种方式(直接、通过代理和C2服务器)与后门和感染机器进行交互:Kobalos还有一个“brilliant”功能是的:根据分析,Kobalos代码紧密绑定在一个函数中,该函数采用非线性控制流“递归调用自身以执行多达37个子任务”,其中之一是将所有受感染的机器变成C2服务器。这种紧凑的架构与其他恶意软件特征相结合,使其难以分析和检测。该报告还指出,所有字符串都经过加密,“因此比静态查看样本更难发现恶意代码。”操作后门需要一个512位RSA私钥和一个32字节长的密码。一旦两者都通过身份验证,Kobalos将使用RSA-512公钥生成并加密两个16字节的密钥,并将它们转换为发送给攻击者。这两个密钥用于RC4加密后续的入站和出站流量。最后,ESET研究人员对这个小而复杂的恶意软件进行了逆向工程,发现它可以移植到许多操作系统(包括Linux、BSD、Solaris,甚至可能是AIX和Windows)。所有迹象都表明,Kobalos背后的攻击者“知识渊博,显然是一名高级攻击者”。SSH凭证窃取Kobalos后门包含大量指令,并且没有具体的payload,因此无法确定攻击者的真实意图。然而,在大多数感染Kobalos的系统中,用于安全通信(SSH)的客户端窃取了凭据。在调查过程中,研究人员发现了不同的帐户窃取变体,包括Linux和FreeBSD实例。所有变体的主要功能包括窃取主机名、端口、用户名和用于从受感染主机建立SSH连接的密码,这些信息保存在一个加密文件中。”发现的所有样本都使用相同的简单密码来存储文件内容。它只是将123添加到它要保存的数据的每个字节。对于FreeBSD版本,将使用相同的格式和密码。但是,在实现上也存在一些细微的差别,例如恶意软件中使用单字节异或来加密文件路径。研究人员解释说。根据变体,保存被盗SSH凭据的文件位置会有所不同,但所有样本都会在/var/run文件下创建一个具有合法外观“.pid”扩展名的文件。较新版本的凭据窃取程序包含加密配置,并添加了通过UDP将凭据泄漏到配置中指定的远程主机的能力。”任何在受感染计算机上使用SSH客户端的人的凭据都将被盗。攻击者然后可以使用这些凭据安装Kobalos在新发现的服务器上。Léveillé补充说。这也可以解释为什么许多学术网络在这次攻击中受到损害,因为超级计算系统的SSH客户端经常被来自多所大学的学生或研究人员使用。连接到SSH服务器时的威胁缓解启用双因素身份验证减轻了威胁,因为使用窃取的凭据似乎是Kobalos传播到不同系统的主要方法。Kobalos不难检测,可以通过在归因于SSH的端口上查找非SSH流量来检测服务器。参考:有关Kobalos恶意软件IoC和YARA规则的更多技术细节,请参见ESET的白皮书:https://www.welivesecurity.com/wp-content/uploads/2021/01/ESET_Kobalos.pdf【本文为专栏作者“安安牛”原创文章,请通过安安牛获取授权(微信公众号id:gooann-sectv)转载】点此查看该作者更多好文