Skip to content

Kobalos木馬程式攻擊全球Linux超級電腦、資安業者與個人伺服器

國際資安大廠ESET於2月初揭露一支名為Kobalos的木馬程式,並指出這雖然只是一個小程式,卻專門鎖定著名的攻擊目標,包括高效能運算叢集、亞洲的大型ISP、北美的資安業者,以及某些個人伺服器都是受害者,且它可移植到不同的作業系統,如Linux、BSD Solaris,也可能適用於AIX Windows。

研究人員在分析了Kobalos之後,發現也許可藉由特定的TCP來源埠連結SSH伺服器,來判斷系統是否感染了Kobalos,因而開始掃描全球網路以尋找可能的受害者,顯示Kobalos感染了北美地區的端點安全軟體業者、政府機構,以及多個個人伺服器,在歐洲地的受害者則包括大學網路的高效能運算叢集、市場行銷業者與代管業者,亞洲則有大型的ISP業者被植入Kobalos。

由於Kobalos屬於通用木馬,含有廣泛的命令,可遠端存取檔案系統,具備產生終端對話的能力,亦允許代理連結到其它感染Kobalos的伺服器,其目前唯一明顯的惡意行為是竊取憑證,研究人員尚不清楚駭客的意圖。

駭客透過許多方式來接觸遭到Kobalos感染的系統,最常見的是把Kobalos嵌入OpenSSH伺服器的可執行文件,並利用特定的TCP來源埠連結時即會觸發木馬程式。此外,Kobalos有個獨特的功能,它本身即具備執行C&C伺服器的程式碼,因此,任何遭到Kobalos危害的伺服器,只要收到駭客所傳送的單一命令,即可搖身一變成為C&C伺服器。

在多數遭Kobalos感染的系統中,其SSH客戶端會被用來竊取憑證,之後這些憑證就會被用來於其它伺服器上植入Kobalos。

Kobalos的另一個特性是所有的程式碼都被存放在一個函數中,於是它能不斷地呼叫自己來執行子任務,且所有的字串都是加密的,因而難以察覺與分析。

研究人員指出,從網路的角色來看,業者可能可藉由於SSH伺服器連結埠上尋找非SSH的流量來偵測Kobalos的存在,因為當駭客與Kobalos交流時,不管是在從客戶端或伺服器端,都沒有進行SSH Banner交換。

有鑑於Kobalos只存在於單一的函數中,且駭客可利用既有的開放傳輸埠來存取,使得受害者更難以察覺它的存在,ESET則在GitHub上公布了Kobalos樣本與入侵指標(Indicators of Compromise,IoCs),以協助各組織辨識。

原文出處:https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/

#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟體提供商,其 獲獎產品——NOD32防病毒軟體系統,能夠針對各種已知或未知病毒、間諜軟體 (spyware)、rootkits和其他惡意軟體為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲 得了更多的Virus Bulletin 100%獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳 能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布里斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事 處,代理機構覆蓋全球超過100個國家。