Kobalos木马程式锁定全球Linux超级电脑、资安业者与个人服务器展开攻击

斯洛伐克资安业者ESET本周揭露一支名为Kobalos木马程式，指出这只是一个小程式，却专门锁定著名的攻击目标，包括高效能运算丛集、亚洲的大型ISP、北美的资安业者，以及某些个人服务器都是受害者，且它可移植到不同的操作系统，诸如Linux、BSD与Solaris，也可能适用于AIX与Windows。

研究人员在分析了Kobalos之后，发现也许可借由特定的TCP来源埠连结SSH服务器，来判断系统是否感染了Kobalos，因而开始扫描全球网络以寻找可能的受害者，显示Kobalos感染了北美地区的端点安全软件业者、-机构，以及多个个人服务器，在欧洲地的受害者则包括大学网络的高效能运算丛集、市场行销业者与代管业者，亚洲则有大型的ISP业者被植入Kobalos。

由于Kobalos属于通用木马，含有广泛的命令，可远端存取档案系统，具备产生终端对话的能力，亦允许代理连结到其它感染Kobalos的服务器，其目前唯一明显的恶意行为是窃取凭证，研究人员尚不清楚骇客的意图。

骇客透过许多方式来接触遭到Kobalos感染的系统，最常见的是把Kobalos嵌入OpenSSH服务器的可执行文件，并利用特定的TCP来源埠连结时即会触发木马程式。此外，Kobalos有个独特的功能，它本身即具备执行C&C服务器的程式码，因此，任何遭到Kobalos危害的服务器，只要收到骇客所传送的单一命令，即可摇身一变成为C&C服务器。

在多数遭Kobalos感染的系统中，其SSH客户端会被用来窃取凭证，之后这些凭证就会被用来于其它服务器上植入Kobalos。

Kobalos的另一个特性是所有的程式码都被存放在一个函数中，于是它能不断地呼叫自己来执行子任务，且所有的字串都是加密的，因而难以察觉与分析。

研究人员指出，从网络的角色来看，业者可能可借由于SSH服务器连结埠上寻找非SSH的流量来侦测Kobalos的存在，因为当骇客与Kobalos交流时，不管是在从客户端或服务器端，都没有进行SSH Banner交换。

有鉴于Kobalos只存在于单一的函数中，且骇客可利用既有的开放传输埠来存取，使得受害者更难以察觉它的存在，ESET则在GitHub上公布了Kobalos样本与入侵指标（Indicators of Compromise，IoCs），以协助各组织辨识。