Kobalos木馬程式攻擊全球Linux超級電腦、資安業者與個人伺服器

下一個故事



國際資安大廠ESET於2月初揭露一支名為Kobalos的木馬程式,並指出這雖然只是一個小程式,卻專門鎖定著名的攻擊目標,包括高效能運算叢集、亞洲的大型ISP、北美的資安業者,以及某些個人伺服器都是受害者,且它可移植到不同的作業系統,如Linux、BSD Solaris,也可能適用於AIX Windows。

研究人員在分析了Kobalos之後,發現也許可藉由特定的TCP來源埠連結SSH伺服器,來判斷系統是否感染了Kobalos,因而開始掃描全球網路以尋找可能的受害者,顯示Kobalos感染了北美地區的端點安全軟體業者、政府機構,以及多個個人伺服器,在歐洲地的受害者則包括大學網路的高效能運算叢集、市場行銷業者與代管業者,亞洲則有大型的ISP業者被植入Kobalos。

由於Kobalos屬於通用木馬,含有廣泛的命令,可遠端存取檔案系統,具備產生終端對話的能力,亦允許代理連結到其它感染Kobalos的伺服器,其目前唯一明顯的惡意行為是竊取憑證,研究人員尚不清楚駭客的意圖。

駭客透過許多方式來接觸遭到Kobalos感染的系統,最常見的是把Kobalos嵌入OpenSSH伺服器的可執行文件,並利用特定的TCP來源埠連結時即會觸發木馬程式。此外,Kobalos有個獨特的功能,它本身即具備執行C&C伺服器的程式碼,因此,任何遭到Kobalos危害的伺服器,只要收到駭客所傳送的單一命令,即可搖身一變成為C&C伺服器。

在多數遭Kobalos感染的系統中,其SSH客戶端會被用來竊取憑證,之後這些憑證就會被用來於其它伺服器上植入Kobalos。

Kobalos的另一個特性是所有的程式碼都被存放在一個函數中,於是它能不斷地呼叫自己來執行子任務,且所有的字串都是加密的,因而難以察覺與分析。

研究人員指出,從網路的角色來看,業者可能可藉由於SSH伺服器連結埠上尋找非SSH的流量來偵測Kobalos的存在,因為當駭客與Kobalos交流時,不管是在從客戶端或伺服器端,都沒有進行SSH Banner交換。

有鑑於Kobalos只存在於單一的函數中,且駭客可利用既有的開放傳輸埠來存取,使得受害者更難以察覺它的存在,ESET則在GitHub上公布了Kobalos樣本與入侵指標(Indicators of Compromise,IoCs),以協助各組織辨識。

原文出處:www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/

#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:version-2.com.tw