Kobalos：专门攻击超级计算机的Linux恶意软件

近日，ESET研究人员发现了一种专门攻击超级计算机的恶意软件——Kobalos，它自2019年以来一直在攻击全球的超级计算机——高性能计算机（HPC）集群，目标包括大型互联网ISP在亚洲，欧洲大学、北美终端安全供应商、私人服务器和政府机构的高性能计算网络（下图）。Kobalos已知攻击目标的行业和地理分布研究人员指出，Kobalos是一个非常“小”但非常复杂的程序，可以在其他UNIX平台（FreeBSD、Solaris）上执行。在分析过程中，发现AIX和Windows操作系统也可能存在Kobalos的变种。在过去的一年里，发生了多起涉及HPC集群的安全事件，其中最受媒体关注的事件是去年5月SecurityBull报道的席卷全球的超级计算机感染门罗币挖矿软件事件，根据欧洲电网基础设施（EGI）CSIRT发布的报告，包括波兰、加拿大、德国、西班牙和中国在内的多个超级计算中心都受到了影响。同样在5月，英国的ARCHER超级计算机遭到黑客攻击以窃取SSH凭据。与已经报告的对超级计算机网络的攻击不同，受感染系统的管理员没有检测到Kobalos试图挖掘加密货币或运行计算密集型任务的任何尝试。事实上，Kobalos恶意软件的最新曝光早于去年其他主要超级计算中心安全事件（始于2019年）。在周二发布的一份分析报告中，ESET表示，研究人员将恶意软件命名为Kobalos，因为“它的代码很小但非常复杂，并且包含许多高级技巧。”Kobalos这个名字来自希腊神话。Kobalos是Dionysus的伙伴，Dionysus是一群以欺骗和恐吓凡人而闻名的恶作剧精灵。调查该恶意软件的Marc-EtienneLéveillé解释说：“我们将此恶意软件称为Kobalos，因为它的代码量小且技巧多。必须承认，这种复杂程度在Linux恶意软件中是无与伦比的。很少见。“Kobalos的32/64位样本只有24KB大小，但它使用了高度定制的混淆和检测规避技术，并在一个小小的“身体”中集成了许多其他功能。例如，由于C2服务器IP地址和端口被阻止硬编码到可执行文件中，恶意软件操作者只需发送一条命令即可将任何受Kobalos感染的服务器变成C2服务器。此外，Kobalos还可以用作连接其他受感染服务器的代理，这意味着攻击者可以使用多台感染Kobalos的机器来达到目的，如前所述，攻击者可以通过三种方式（直接、通过代理和C2服务器）与后门和感染机器进行交互：Kobalos还有一个“brilliant”功能是的:根据分析，Kobalos代码紧密绑定在一个函数中，该函数采用非线性控制流“递归调用自身以执行多达37个子任务”，其中之一是将所有受感染的机器变成C2服务器。这种紧凑的架构与其他恶意软件特征相结合，使其难以分析和检测。该报告还指出，所有字符串都经过加密，“因此比静态查看样本更难发现恶意代码。”操作后门需要一个512位RSA私钥和一个32字节长的密码。一旦两者都通过身份验证，Kobalos将使用RSA-512公钥生成并加密两个16字节的密钥，并将它们转换为发送给攻击者。这两个密钥用于RC4加密后续的入站和出站流量。最后，ESET研究人员对这个小而复杂的恶意软件进行了逆向工程，发现它可以移植到许多操作系统（包括Linux、BSD、Solaris，甚至可能是AIX和Windows）。所有迹象都表明，Kobalos背后的攻击者“知识渊博，显然是一名高级攻击者”。SSH凭证窃取Kobalos后门包含大量指令，并且没有具体的payload，因此无法确定攻击者的真实意图。然而，在大多数感染Kobalos的系统中，用于安全通信(SSH)的客户端窃取了凭据。在调查过程中，研究人员发现了不同的帐户窃取变体，包括Linux和FreeBSD实例。所有变体的主要功能包括窃取主机名、端口、用户名和用于从受感染主机建立SSH连接的密码，这些信息保存在一个加密文件中。”发现的所有样本都使用相同的简单密码来存储文件内容。它只是将123添加到它要保存的数据的每个字节。对于FreeBSD版本，将使用相同的格式和密码。但是，在实现上也存在一些细微的差别，例如恶意软件中使用单字节异或来加密文件路径。研究人员解释说。根据变体，保存被盗SSH凭据的文件位置会有所不同，但所有样本都会在/var/run文件下创建一个具有合法外观“.pid”扩展名的文件。较新版本的凭据窃取程序包含加密配置，并添加了通过UDP将凭据泄漏到配置中指定的远程主机的能力。”任何在受感染计算机上使用SSH客户端的人的凭据都将被盗。攻击者然后可以使用这些凭据安装Kobalos在新发现的服务器上。Léveillé补充说。这也可以解释为什么许多学术网络在这次攻击中受到损害，因为超级计算系统的SSH客户端经常被来自多所大学的学生或研究人员使用。连接到SSH服务器时的威胁缓解启用双因素身份验证减轻了威胁，因为使用窃取的凭据似乎是Kobalos传播到不同系统的主要方法。Kobalos不难检测，可以通过在归因于SSH的端口上查找非SSH流量来检测服务器。参考：有关Kobalos恶意软件IoC和YARA规则的更多技术细节，请参见ESET的白皮书：https://www.welivesecurity.com/wp-content/uploads/2021/01/ESET_Kobalos.pdf【本文为专栏作者“安安牛”原创文章，请通过安安牛获取授权（微信公众号id:gooann-sectv)转载】点此查看该作者更多好文