Kobalos木馬程式攻擊全球Linux超級電腦、資安業者與個人伺服器

國際資安大廠ESET於2月初揭露一支名為Kobalos的木馬程式，並指出這雖然只是一個小程式，卻專門鎖定著名的攻擊目標，包括高效能運算叢集、亞洲的大型ISP、北美的資安業者，以及某些個人伺服器都是受害者，且它可移植到不同的作業系統，如Linux、BSD Solaris，也可能適用於AIX Windows。

研究人員在分析了Kobalos之後，發現也許可藉由特定的TCP來源埠連結SSH伺服器，來判斷系統是否感染了Kobalos，因而開始掃描全球網路以尋找可能的受害者，顯示Kobalos感染了北美地區的端點安全軟體業者、政府機構，以及多個個人伺服器，在歐洲地的受害者則包括大學網路的高效能運算叢集、市場行銷業者與代管業者，亞洲則有大型的ISP業者被植入Kobalos。

由於Kobalos屬於通用木馬，含有廣泛的命令，可遠端存取檔案系統，具備產生終端對話的能力，亦允許代理連結到其它感染Kobalos的伺服器，其目前唯一明顯的惡意行為是竊取憑證，研究人員尚不清楚駭客的意圖。

駭客透過許多方式來接觸遭到Kobalos感染的系統，最常見的是把Kobalos嵌入OpenSSH伺服器的可執行文件，並利用特定的TCP來源埠連結時即會觸發木馬程式。此外，Kobalos有個獨特的功能，它本身即具備執行C&C伺服器的程式碼，因此，任何遭到Kobalos危害的伺服器，只要收到駭客所傳送的單一命令，即可搖身一變成為C&C伺服器。

在多數遭Kobalos感染的系統中，其SSH客戶端會被用來竊取憑證，之後這些憑證就會被用來於其它伺服器上植入Kobalos。

Kobalos的另一個特性是所有的程式碼都被存放在一個函數中，於是它能不斷地呼叫自己來執行子任務，且所有的字串都是加密的，因而難以察覺與分析。

研究人員指出，從網路的角色來看，業者可能可藉由於SSH伺服器連結埠上尋找非SSH的流量來偵測Kobalos的存在，因為當駭客與Kobalos交流時，不管是在從客戶端或伺服器端，都沒有進行SSH Banner交換。

有鑑於Kobalos只存在於單一的函數中，且駭客可利用既有的開放傳輸埠來存取，使得受害者更難以察覺它的存在，ESET則在GitHub上公布了Kobalos樣本與入侵指標（Indicators of Compromise，IoCs），以協助各組織辨識。

原文出處：https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/