ESET安全公司：一个疯狂的Koblaos曝光：狡猾的Linux恶意软件追踪 HPC集群（英文版）（31页）.pdf

《ESET安全公司：一个疯狂的Koblaos曝光：狡猾的Linux恶意软件追踪 HPC集群（英文版）（31页）.pdf》由会员分享，可在线阅读，更多相关《ESET安全公司：一个疯狂的Koblaos曝光：狡猾的Linux恶意软件追踪 HPC集群（英文版）（31页）.pdf（31页珍藏版）》请在三个皮匠报告上搜索。

1、ESET Research分析了Kobalos，这是一种以前未知且复杂的多平台恶意软件，目标是Linux、FreeBSD和Solaris系统。鉴于这种威胁的受害者大多是知名组织，几乎可以肯定的是，这种恶意软件是针对选定的目标部署的，而不是机会主义的。部署时，该恶意软件允许访问受损主机的文件系统，并允许访问远程终端，使攻击者能够运行任意命令。Kobalos的网络功能使这个恶意软件非常独特。它支持作为一个被动植入物和一个机器人主动连接到其C&C服务器。有趣的是，这些C&C服务器本身就受到了Kobalos的攻击;所有Kobalos示例中都提供了运行此类服务器的代码。通过进行互联网范围

2、的扫描，ESET研究能够识别并通知这种威胁的受害者。目前尚不清楚这个恶意软件的历史，但第一个已知的活动是由一名受害者证实的，该受害者在2019年底被入侵。运营Kobalos的集团在2020年期间一直保持活跃。Linux的威胁形势仍在不断演变，有时，恶意软件作者会将大量资源投入到他们的交易中。科巴洛斯就是其中之一。Kobalos是一个在Linux、FreeBSD和Solaris上工作的多平台后门。还有一些工件表明AIX甚至Windows中可能存在这种恶意软件的变种。Kobalos的目标非常引人注目，包括高性能计算机、学术界的服务器、端点安全供应商和大型互联网服务提供商。它部署在欧洲、北美和亚洲的服务器上。Kobalos使用复杂的模糊机制，使其分析具有挑战性。任何受到Kobalos攻击的服务器都可以转换为其他受到Kobalos攻击的主机的C&C服务器。该代码嵌入恶意软件中，操作员可随时激活。我们调查的大多数被Kobalos攻击的主机也安装了OpenSSH凭证窃取程序。这也许可以解释科巴洛斯是如何传播的。