安全|Linux恶意软件Kobalos曝光可利用OpenSSH软件后门窃取证书_Linux恶意软件Kobalos曝光|可

安全公司 ESET 近日放出了一则警告，提醒一款被挂有木马的 OpenSSH 软件，或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos，安全研究人员称之“小而复杂”且“诡计多端” 。即使攻击规模不大，但 Kobalos 后门还是渗透了一些主要目标，包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商（ISP）的系统。

文章图片

Kobalos 恶意软件功能与访问方式概览（来自：ESET | PDF）
参考希腊神话中一个顽皮的小动物，ESET 研究人员将这款恶意软件命名为 Kobalos。但除了 Linux、FreeBSD 和 Solaris，安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。
通过逆向工程可知，Kobalos 能够在互联网上扫描受害者。而且在大多数情况下，受害者主要集中在大型系统和超级计算机领域（另有涉及部分私有服务器设施），但目前尚未揪出相关事件的幕后黑手。

文章图片

受控制的“肉鸡”与远程命令服务器的交互
过去一年，互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿，受害者包括波兰、加拿大等地的受感染服务器。
新闻中还提到过英国的 Archer 超级计算机（其 SSH 证书被盗），但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。

文章图片

Kobalos 命令与控制服务器的指令码
ESET 研究人员补充道，尽管 Kobalos 的代码库很是精简，但却包含了用于运行命令和远程服务器控制的代码。
为缓解攻击，安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。

文章图片

通过 TCP 协议传输的 Kobalos 恶意软件数据包
最后，ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos（或 Linux / Agent.IV）。
【安全|Linux恶意软件Kobalos曝光可利用OpenSSH软件后门窃取证书】而用于 SSH 证书窃取的程序，则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC。