斯洛伐克安全企业ESET本周披露一支名为Kobalos木马程序,指出这只是一个小程序,却专门锁定著名的攻击目标,包括高性能计算集群、亚洲的大型ISP、北美的安全企业,以及某些个人服务器都是受害者,且它可移植到不同的操作系统,诸如Linux、BSD与Solaris,也可能适用于AIX与Windows。
研究人员在分析了Kobalos之后,发现也许可借由特定的TCP来源端口连接SSH服务器,来判断系统是否感染了Kobalos,因而开始扫描全球网络以寻找可能的受害者,显示Kobalos感染了北美地区的端点安全软件企业、政府机构,以及多个个人服务器,在欧洲地的受害者则包括大学网络的高性能计算集群、市场营销企业与托管企业,亚洲则有大型的ISP企业被植入Kobalos。
由于Kobalos属于通用木马,含有广泛的命令,可远程访问文件系统,具备产生终端对话的能力,也允许代理连接到其它感染Kobalos的服务器,其目前唯一明显的恶意行为是窃取凭证,研究人员尚不清楚黑客的意图。
黑客通过许多方式来接触遭到Kobalos感染的系统,最常见的是把Kobalos嵌入OpenSSH服务器的可执行文件,并利用特定的TCP来源端口连接时即会触发木马程序。此外,Kobalos有个独特的功能,它本身即具备执行C&C服务器的程序代码,因此,任何遭到Kobalos危害的服务器,只要收到黑客所发送的单一命令,即可摇身一变成为C& ;C服务器。
在多数遭Kobalos感染的系统中,其SSH客户端会被用来窃取凭证,之后这些凭证就会被用来于其它服务器上植入Kobalos。
Kobalos的另一个特性是所有的程序代码都被存放在一个函数中,于是它能不断地调用自己来执行子任务,且所有的字符串都是加密的,因而难以发现与分析。
研究人员指出,从网络的角色来看,企业可能可借由于SSH服务器连接端口上寻找非SSH的流量来侦测Kobalos的存在,因为当黑客与Kobalos交流时,不管是在从客户端或服务器端,都没有进行SSH Banner交换。
有鉴于Kobalos只存在于单一的函数中,且黑客可利用既有的开放传输端口来访问,使得受害者更难以发现它的存在,ESET则在GitHub上公布了Kobalos样本与入侵指标(Indicators of Compromise,IoCs),以协助各组织识别。