针对高校高以及政府机构高性能计算集群攻击的后门攻击被发现,该后门使攻击者能够远程在系统上执行任意命令。网络安全公司ESET将恶意软件命名为“ Kobalos ”向以希腊神话命名的恶意软件“mischievous creature”的致敬。Kobalos感染始于2019年底,此后一直持续活跃至整个2020年。Kobalos是一个通用的后门,授予对文件系统的远程访问权限,提供了生成终端会话的功能,并允许代理到其他感染Kobalos的服务器的连接。该恶意软件还能够针对Linux、FreeBSD、Solaris以及可能的AIX和Windows计算机,其代码引用了Windows 3.11和Windows 95操作系统的遗留问题。研究表明,这种多平台恶意软件包含了一些不寻常的技术,其中包括一些功能,可以将任何受感染的服务器转变为针对Kobalos感染的其他主机的命令与控制(C&C)服务器。即,受感染的计算机可以用作连接到其他受感染服务器的代理,然后运营商可以利用它们来创建新的Kobalos样本,该样本使用此新的C&C服务器创建由多个受感染服务器组成的代理链,以到达它们目标。
为了保持隐蔽性,Kobalos使用生成的32字节密码对受感染计算机的连接进行身份验证,然后使用512位RSA私钥对其进行加密。随后,使用一组RC4密钥(分别用于入站流量和出站流量)与C&C服务器进行通信。后门还利用复杂的混淆机制来递归调用代码以执行各种子任务,从而阻碍防恶意代码软件对其分析。恶意软件其实跨平台的很多,Linux或苹果系统不是没有漏洞或病毒,只是一直以来因为其小众化而受常规黑客关注度不是太高而已。随着,我国在过程领域的发力,Linux等类Unix系统必然会起到非常大的作用,所以Linux系列系统的安全防护工作必将越来越重要。在网络安全的领域,我们一直在路上,没有完成时!
