信息化觀察網(wǎng)

近日，ESET研究人員發(fā)現(xiàn)了一個專門攻擊超級計(jì)算機(jī)的惡意軟件——Kobalos，該惡意軟件2019年以來一直在攻擊全球各地的超級計(jì)算機(jī)——高性能計(jì)算機(jī)（HPC）集群，目標(biāo)包括亞洲的大型互聯(lián)網(wǎng)ISP、歐洲大學(xué)高性能計(jì)算網(wǎng)絡(luò)、北美終端安全廠商、私有服務(wù)器和政府機(jī)構(gòu)（下圖）。

Kobalos已知攻擊目標(biāo)的行業(yè)和地域分布

研究者指出，Kobalos是一個很“小巧”但很復(fù)雜的程序，可以在其他UNIX平臺（FreeBSD、Solaris）上執(zhí)行。在分析過程中發(fā)現(xiàn)AIX和Windows操作系統(tǒng)也可能存在Kobalos的變體。

過去的一年中發(fā)生了多起涉及HPC集群的安全事件，其中最受媒體關(guān)注的莫過于去年5月安全牛報道過的席卷全球的超級計(jì)算機(jī)感染門羅幣挖礦軟件事件，根據(jù)歐洲網(wǎng)格基礎(chǔ)設(shè)施（EGI）CSIRT公布的報告，包括波蘭、加拿大、德國、西班牙和中國的多個超算重心都受到了影響。同樣在5月，英國ARCHER超級計(jì)算機(jī)被入侵竊取SSH憑證。

與已經(jīng)報告的超級計(jì)算機(jī)網(wǎng)絡(luò)的攻擊事件不同，被感染系統(tǒng)的管理員沒有發(fā)現(xiàn)Kobalos有任何嘗試挖掘加密貨幣或運(yùn)行計(jì)算量大的任務(wù)的嘗試。

事實(shí)上，最新曝光的Kobalos惡意軟件比去年的其他重大超算中心安全事件發(fā)生得更早（始于2019年）。

“人小鬼大”

ESET在周二發(fā)布的一份分析報告中表示，研究人員之所以用Kobalos命名該惡意軟件，是因?yàn)?ldquo;其代碼量雖小但高度復(fù)雜，包含很多高級技巧”。Kobalos的名字源于希臘神話。Kobalos是狄俄尼索斯（Dionysus）的同伴，狄俄尼索斯是一堆調(diào)皮的精靈，以欺騙和恫嚇凡人而聞名。

“我們之所以稱這種惡意軟件為Kobalos，是因?yàn)樗拇a量很小且有許多技巧。”調(diào)查該惡意軟件的Marc-EtienneLéveillé解釋說：“必須承認(rèn)，這種復(fù)雜程度在Linux惡意軟件中很少見。”

Kobalos的32/64位樣本的大小只有24KB，但是采用了高度定制化的混淆和檢測逃避技術(shù)，此外在小小“身軀”中整合了很多其他功能，例如，由于C2服務(wù)器IP地址和端口被硬編碼到可執(zhí)行文件中，惡意軟件操作員只需要發(fā)送一條命令，就可以把任何感染Kobalos的服務(wù)器變?yōu)镃2服務(wù)器。

此外，Kobalos還可以用作連接其他受感染服務(wù)器的代理，這意味著攻擊者可以利用多臺感染Kobalos的機(jī)器來達(dá)到目的。

如上所述攻擊者，可通過三種方式與后門和被感染機(jī)器互動（直接、通過代理和C2服務(wù)器）：

Kobalos還有一個“出彩”的功能是：根據(jù)分析，Kobalos代碼緊密綁定在一個函數(shù)中，該函數(shù)采用非線性控制流程“遞歸調(diào)用自身以執(zhí)行多達(dá)37個子任務(wù)”，其中一個子任務(wù)是將所有被感染機(jī)器變成C2服務(wù)器。

這種緊湊的體系結(jié)構(gòu)與其他惡意軟件特性相結(jié)合，使其難以被分析和發(fā)現(xiàn)。

報告還指出，所有字符串均已加密，“因此，與靜態(tài)查看樣本相比，查找惡意代碼更加困難”。操作后門需要一個私有的512位RSA密鑰和一個32字節(jié)長的密碼。一旦兩個都通過驗(yàn)證，Kobalos將使用RSA-512公共密鑰生成并加密兩個16字節(jié)密鑰，并將其發(fā)送給攻擊者。這兩個密鑰用于RC4加密后續(xù)的入站和出站流量。

最后，ESET研究人員對這種小而復(fù)雜的惡意軟件進(jìn)行了反向工程，發(fā)現(xiàn)它可移植到許多操作系統(tǒng)（包括Linux、BSD、Solaris，甚至可能是AIX和Windows）中。

種種跡象表明，Kobalos背后的攻擊者“知識淵博，顯然是個高級攻擊者”。

竊取SSH憑據(jù)

Kobalos后門程序包含廣泛的指令，且沒有特定的有效載荷，因此無法確定攻擊者的真實(shí)意圖。

但是，在大多數(shù)感染Kobalos的系統(tǒng)中，用于安全通信（SSH）的客戶端被竊取了憑據(jù)。

研究者在調(diào)查中發(fā)現(xiàn)了不同的賬戶竊取程序變體，包括Linux和FreeBSD實(shí)例。所有變體的主要功能包括從受感染的主機(jī)竊取用于建立SSH連接的主機(jī)名、端口、用戶名和密碼，這些主機(jī)名、端口、用戶名和密碼均保存在加密文件中。

“找到的所有樣本都使用相同的簡單密碼來存儲文件的內(nèi)容。它只會在要保存的每個字節(jié)數(shù)據(jù)中加上123。對于FreeBSD版本，將使用相同的格式和密碼。但是，在實(shí)現(xiàn)上還存在一些細(xì)微的差異，例如使用單字節(jié)XOR加密惡意軟件中的文件路徑。”研究人員解釋說。

根據(jù)變體的不同，保存被盜的SSH憑據(jù)的文件位置也會有所不同，但是所有示例都會在/var/run下創(chuàng)建一個看起來合法的“.pid”擴(kuò)展名的文件。

較新版本的憑證竊取器包含加密的配置，并添加了通過UDP將憑證泄漏到配置中指定的遠(yuǎn)程主機(jī)的功能。

“使用受感染計(jì)算機(jī)的SSH客戶端的任何人的憑據(jù)都會被竊取。然后，攻擊者可以使用這些憑據(jù)在新發(fā)現(xiàn)的服務(wù)器上安裝Kobalos。”Léveillé補(bǔ)充說。

這也可以解釋為什么許多學(xué)術(shù)網(wǎng)絡(luò)在這次攻擊中遭到破壞，因?yàn)槌阆到y(tǒng)的SSH客戶端往往被來自多所大學(xué)的學(xué)生或研究人員使用。

威脅緩解

連接到SSH服務(wù)器時啟用雙因素身份驗(yàn)證可以緩解威脅，因?yàn)槭褂帽槐I憑據(jù)似乎是Kobalos傳播到不同系統(tǒng)的主要方法。

對Kobalos的檢測并不困難，可以通過在歸屬于SSH服務(wù)器的端口上查找非SSH流量來檢測Kobalos。

參考資料

ESET的白皮書中提供了有關(guān)Kobalos惡意軟件IoC和YARA規(guī)則的更多技術(shù)詳細(xì)信息：

https://www.welivesecurity.com/wp-content/uploads/2021/01/ESET_Kobalos.pdf