全球超级计算机的“通用后门”曝光,来自一个小型恶意软件

安全
Kobalos恶意软件的代码库很小,但它瞄准的对象却是全球超级计算机。显然,这是一个此前未被记录的恶意软件,被发现后,该恶意软件被命名为Kobalos。

Kobalos恶意软件的代码库很小,但它瞄准的对象却是全球超级计算机。

显然,这是一个此前未被记录的恶意软件,被发现后,该恶意软件被命名为Kobalos——来自希腊神话中的一个小精灵,喜欢恶作剧和欺骗凡人。

 


 

 

受感染组织的行业和区域分布

 

Kobalos的活动可以追溯到2019年末,并且在2020年持续活跃。从某种意义上说,Kobalos是一个通用的后门,因为它包含了广泛命令,也因此无法得知攻击者的真正意图。不过,至少可以确认,目前攻击者并没有利用受感染的超级计算机进行加密货币挖掘。

Kobalos本质上是一个后门,一旦该恶意软件安装到超级计算机上,恶意代码就会将自己隐藏在OpenSSH服务器可执行文件中,如果通过特定的TCP源端口进行调用,就会触发后门。此外,Kobalos允许其攻击者远程访问文件系统,生成终端会话,并且还充当连接其他感染恶意软件的服务器的连接点。

从影响范围来看,Kobalos的代码库虽然很小,但很复杂,至少可以影响Linux、BSD和Solaris操作系统,并且有理由怀疑它可能与针对AIX和Microsoft Windows机器的攻击类似。在攻击目标上,集中高性能计算集群(HPC),端点安全解决方案提供商,政府机构、北美的个人服务器、大学、欧洲的托管公司以及亚洲的主要ISP。

1612321732_601a13c46a7da5faee305.png!small?1612321734227

Kobalos功能概述和访问方式

不得不说,这种复杂程度在Linux恶意软件中很少见。而从该恶意软件的众多完备功能以及网络规避技术来看,Kobalos并不像大多数Linux恶意软件那样琐碎,它的所有代码都保存在一个函数中,该函数递归调用自身来执行子任务,此外,所有字符串均已加密,因此与静态查看样本相比,查找恶意代码更加困难。目前,Kobalos可能在低调运行,并且不断改进能力。

IOC

1612321739_601a13cb1c70f635fa34c.png!small?1612321740728

1612321751_601a13d768288a28e010e.png!small?1612321752989

参考来源:

​https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/​

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-02-05 08:05:59

恶意软件Kobalos超级计算机

2021-02-07 20:53:18

后门程序恶意软件Linux

2012-09-05 10:25:05

超级计算机500强

2012-11-20 09:19:21

ARM超级计算机HPC

2009-11-16 16:40:29

国产超级计算机

2020-05-19 10:49:10

网络安全恶意软件技术

2012-06-20 10:19:00

IBM超级计算机Sequoia

2021-05-28 18:35:29

NVIDIA

2013-05-06 10:42:37

IBM红杉模拟

2010-11-17 10:22:37

TOP10超级计算机

2012-11-12 13:46:56

手机超级计算机

2018-11-13 09:45:18

超算芯片计算机

2023-08-01 06:56:34

DRAM内存服务器

2023-03-02 07:49:38

2020-05-18 11:43:24

恶意软件加密货币攻击

2013-04-01 10:51:02

2011-11-17 13:28:35

云计算超级计算机

2011-12-28 13:30:36

云计算Amazon超级计算机

2012-02-29 10:02:59

IBM量子计算机超级计算机

2013-11-21 10:52:34

NVIDIAIBM超级计算机
点赞
收藏

51CTO技术栈公众号