Created: 2021-02-11 00:00:00

 

國際資安大廠ESET於2月初揭露一支名為Kobalos的木馬程式，並指出這雖然只是一個小程式，卻專門鎖定著名的攻擊目標，包括高效能運算叢集、亞洲的大型ISP、北美的資安業者，以及某些個人伺服器都是受害者，且它可移植到不同的作業系統，如Linux、BSD Solaris，也可能適用於AIX Windows。

研究人員在分析了Kobalos之後，發現也許可藉由特定的TCP來源埠連結SSH伺服器，來判斷系統是否感染了Kobalos，因而開始掃描全球網路以尋找可能的受害者，顯示Kobalos感染了北美地區的端點安全軟體業者、政府機構，以及多個個人伺服器，在歐洲地的受害者則包括大學網路的高效能運算叢集、市場行銷業者與代管業者，亞洲則有大型的ISP業者被植入Kobalos。

由於Kobalos屬於通用木馬，含有廣泛的命令，可遠端存取檔案系統，具備產生終端對話的能力，亦允許代理連結到其它感染Kobalos的伺服器，其目前唯一明顯的惡意行為是竊取憑證，研究人員尚不清楚駭客的意圖。

駭客透過許多方式來接觸遭到Kobalos感染的系統，最常見的是把Kobalos嵌入OpenSSH伺服器的可執行文件，並利用特定的TCP來源埠連結時即會觸發木馬程式。此外，Kobalos有個獨特的功能，它本身即具備執行C&C伺服器的程式碼，因此，任何遭到Kobalos危害的伺服器，只要收到駭客所傳送的單一命令，即可搖身一變成為C&C伺服器。

在多數遭Kobalos感染的系統中，其SSH客戶端會被用來竊取憑證，之後這些憑證就會被用來於其它伺服器上植入Kobalos。

Kobalos的另一個特性是所有的程式碼都被存放在一個函數中，於是它能不斷地呼叫自己來執行子任務，且所有的字串都是加密的，因而難以察覺與分析。

研究人員指出，從網路的角色來看，業者可能可藉由於SSH伺服器連結埠上尋找非SSH的流量來偵測Kobalos的存在，因為當駭客與Kobalos交流時，不管是在從客戶端或伺服器端，都沒有進行SSH Banner交換。

有鑑於Kobalos只存在於單一的函數中，且駭客可利用既有的開放傳輸埠來存取，使得受害者更難以察覺它的存在，ESET則在GitHub上公布了Kobalos樣本與入侵指標（Indicators of Compromise，IoCs），以協助各組織辨識。

原文出處：www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/

 

 

 

關於Version 2 Limited
Version 2 Limited是亞洲最有活力的IT公司之一，公司發展及代理各種不同的互聯網、資訊科技、多媒體產品，其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴，Version 2 Limited 提供廣被市場讚賞的產品及服務。Version 2 Limited 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區，客戶來自各行各業，包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

 

關於ESET
ESET成立於1992年，是一家面向企業與個人用戶的全球性的電腦安全軟件提供商，其獲獎產品 — NOD32防病毒軟件系統，能夠針對各種已知或未知病毒、間諜軟件 （spyware）、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少，偵測速度最快，可以提供最有效的保護，並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”（Deloitte’s Technology Fast 500）公司，擁有廣泛的合作夥伴網絡，包括佳能、戴爾、微軟等國際知名公司，在布拉迪斯拉發（斯洛伐克）、布裏斯托爾（英國 ）、布宜諾斯艾利斯（阿根廷）、布拉格（捷克）、聖地亞哥（美國）等地均設有辦事處，代理機構覆蓋全球超過100個國家。