Linux.恶意软件后门超级计算机

ESET.研究人员发现了一种攻击超级计算机的恶意软件 - 高性能计算机(HPC.)群集–以及其他目标,如大型亚洲ISP,北美终端安全供应商以及几个私人持有服务器。

恶意软件超级计算机

“也许与涉及甲匹罗斯的事件无关,在过去一年里有多种涉及HPC集群的安全事件。其中一些人在欧洲电网基础设施(EGI)的咨询中,在新闻界中公开了 CSIRT. 关于部署加密货币矿工的情况。 EGI CSIRT咨询显示波兰,加拿大和中国在这些袭击中使用了妥协服务器。新闻文章还提到Archer,一个违反了英国的超级计算机,其中SSH凭据被盗,但不包含有关使用哪些恶意软件的详细信息,如果有的话,”ESET研究人员指出。

“我们与CERN计算机安全团队和其他参与科学研究网络攻击的其他组织合作过。据他们说,Kobalos恶意软件的用法预测其他事件。”

恶意软件攻击超级计算机,服务器…

ESET. 研究人员已经反向设计了这一小型但复杂的恶意软件,该软件可用于许多操作系统,包括Linux,BSD,Solaris和可能的AIX和Windows。

“我们已将此恶意软件Kobalos命名为其微小的代码大小和许多技巧;在希腊神话中,一只巫莺是一个小型恶作剧的生物,“Marc-etienneLéveillé调查了恶意软件。 “必须说,在Linux恶意软件中,这种复杂程度只有很少见。”

Kobalos是一个包含广泛命令的后门,不透露攻击者的意图。它授予远程访问文件系统,提供生成终端会话的能力,并允许将连接连接到其他Kobalos感染服务器,LéveilléBots。

kobalos损害的任何服务器都可以变成命令& Control (C&c)通过发送单个命令的运算符服务器。作为C.&C服务器IP地址和端口是硬编码到可执行文件中的,然后运营商可以生成使用此新C的新kobalos样本&C server.

此外,在大多数由Kobalos损害的系统中,客户端用于安全通信(SSH)被泄露以窃取凭据。 “任何使用妥协机器的SSH客户端的人都将捕获其凭据。然后,攻击者可以使用这些凭证在新发现的服务器上安装Kobalos,“Léveillé添加了。

威胁缓解

配置 双因素身份验证 为了连接到SSH服务器将减轻威胁,因为使用被盗凭证似乎是它能够传播到不同系统的方式之一。

“从网络透视图,可以通过在归因于SSH服务器的端口上寻找非SSH流量来检测Kobalos。当Kobalos后门与运营商通信时,没有从客户端或服务器交换的SSH横幅(SSH-2.0-...),” the researchers 共享.

有关恶意软件,IOC和YARA规则的更多技术细节 白皮书.

分享这个