新的Linux恶意软件从超级计算机窃取SSH凭据

一个新的后门已经瞄准了全世界的超级计算机，通常通过使用木马版本的OpenSSH软件来窃取用于安全网络连接的凭据。

该恶意软件并不广泛，似乎主要针对学术和研究网络中的高性能计算机（HPC）和服务器。

网络安全公司ESET的安全研究人员发现了该恶意软件，并以希腊神话中行为不端的生物命名为Kobalos。

他们说Kobalos有一个很小但很复杂的代码库，可以在其他UNIX平台（FreeBSD，Solaris）上执行。在分析过程中发现的一些工件表明AIX和Windows操作系统也可能存在变体。

在为威胁创建指纹后，ESET运行了整个互联网的扫描，以找到Kobalos的受害者。他们发现，许多受感染的系统都是学术和研究领域的超级计算机和服务器。其他受害者包括北美一家未公开的软件安全供应商的端点，亚洲一家大型ISP，营销机构和托管提供商。

ESET无法建立允许黑客获得安装Kobalos的管理权限的初始攻击媒介。但是，某些受感染的系统“运行较旧，不受支持或未安装补丁程序的操作系统和软件”，因此可能会利用已知的漏洞。

窃取SSH凭据

尽管研究人员花费了数月时间分析该恶意软件，但由于所包含的通用命令且没有特定的有效负载，因此他们无法确定其确切目的。

Kobalos提供对文件系统的远程访问，它可以生成终端会话，这使攻击者可以运行任意命令。不过，有些细节可用。

研究人员认为，凭证盗窃可以解释恶意软件如何传播到同一网络或学术领域其他网络中的其他系统，因为来自多所大学的学生和研究人员可能可以通过SSH访问超级计算机集群。

小巧，复杂的后门

尽管Kobalos轻巧，仅可用于32/64位样本，只有24KB，但它是一种复杂的恶意软件，具有自定义的混淆和反取证技术，阻碍了其分析，并具有小巧的功能。

一个使Kobalos脱颖而出的有趣功能是，它的代码被捆绑到一个函数中，并且合法OpenSSH代码只有一个调用。但是，它具有非线性控制流程，它递归地调用该函数来执行子任务-总共支持37个动作，其中一个动作可以将任何受损的机器变成其他机器的命令和控制（C2）服务器。

研究人员发现，远程操作员可以通过三种方式连接到Kobalos：

• 打开TCP端口并等待传入​​连接（有时称为被动后门）
• 连接到配置为作为C2服务器运行的Kobalos的另一个实例
• 等待连接到已经运行的合法服务，但来自特定TCP源端口的连接（对正在运行的OpenSSH服务器进行木马化）

Kobalos还加密往返攻击者的流量。为此，客户端需要使用RSA-512密钥和密码进行身份验证。该密钥生成并加密两个16字节密钥，这些密钥使用RC4流密码对通信进行加密。

此外，后门可以将通信切换到备用端口，并充当代理（可链接）以访问其他受感染的服务器。

ESET表示，鉴于其很小的代码库和强大的功能，“在Linux恶意软件中很少见到Kobalos的复杂性”，这表明开发人员的技能比普通Linux恶意软件作者要好得多。

尽管恶意软件的复杂性毋庸置疑，但仍存在关于攻击者的目标和使用Kobalos的期限的疑问（发现的某些字符串与25年以上的Windows 3.11和Windows 95有关）。

可以肯定的是，Kobalos正在从包括高性能计算机群集在内的备受瞩目的受害者那里窃取SSH凭据，并且 自2019年底以来，在针对超级计算机的其他攻击中它一直处于活跃状态 。

此外，与已经报告的涉及HPC网络的事件不同，在Kobalos的情况下，系统管理员没有发现任何尝试挖掘加密货币或运行计算量大的任务的尝试。

ESET通知所有Kobalos受害者，他们可以识别并与他们合作补救感染。研究人员发表了对Kobalos的 完整技术分析， 其中包括可以帮助潜在受害者检测恶意软件的危害指标（IoC）。