Linux - XMR恶意软件针对高性能计算机

  • A+
所属分类:安全新闻

在ESET发布的报告中,标题为“出现了狂放的Kobalos:Tricksy Linux恶意软件追随HPC”,详细介绍了一种新的恶意软件菌株,该菌株针对高性能计算(HPC)群集。通常,HPC是服务器的集合,称为节点,它们通过快速互连相互连接。每个节点都有特定的任务来处理登录,数据传输或高级计算过程,并且旨在确保使用时系统的高性能。HPC有时被称为“超级计算机”,因为它们执行常规台式计算机无法执行的任务或执行时间会太长。


名为Kobalos的恶意软件是一种很小但复杂的恶意软件。也许是由于这个原因,该恶意软件是用希腊神话中的一个精灵命名的,该精灵以引起人类恶作剧而著称。那些玩龙与地下城的人会熟悉名为Kobolds的神话生物的日耳曼联想。该恶意软件已经在欧洲流行的HPC中被发现,并且已经在全球范围内针对其他基于Linux的服务器。

在北美,该恶意软件是在Endpoint Security供应商,几台个人服务器和政府网络中发现的。在欧洲,除了HPC群集外,还在大学网络,网站托管服务器以及市场营销机构中发现了该恶意软件。在亚洲,一家大型的互联网服务提供商受到了该恶意软件的影响。ESET设法通过使用特定的TCP源端口扫描并连接到SSH服务器来发现哪些网络和服务器受到了影响。

Linux - XMR恶意软件针对高性能计算机

研究人员将Kobalos描述为通用后门,因为它包含的广泛命令无法揭示攻击者的意图。简而言之,Kobalos授予对文件系统的远程访问权限,提供了生成终端会话的功能,并允许代理到其他感染Kobalos的服务器的连接。研究人员进一步发现,恶意软件的操作者可以通过多种方式到达受感染的计算机。当Kobalos嵌入在OpenSSH服务器可执行文件(SSHD)中时,最常见的方式涉及到这种情况,如果连接来自特定的TCP源端口,它将触发后门代码。


发现的恶意软件的其他变体将连接到攻击者的命令和控制服务器,然后充当中间人或等待给定TCP端口上的入站连接。使Kobalos独树一帜的是,可以在恶意软件本身中找到用于与命令和控制(C2)服务器通信的代码,这使得感染Kobalos的任何计算机都可以通过发出单个命令来转换为C2服务器。由于C&C服务器,IP地址和端口被硬编码到可执行文件中,因此操作员可以生成使用此新C&C服务器的新Kobalos示例。


“在大多数受Kobalos攻击的系统中,SSH客户端被窃取凭据。这种凭据窃取者不同于我们以前见过的任何恶意OpenSSH客户端,并且在过去八年中,我们已经研究了其中的数十个。该组件的复杂性与Kobalos本身不同:没有努力混淆凭证窃取者的早期变体。例如,字符串未加密,被盗的用户名和密码仅写入磁盘上的文件。但是,我们发现了较新的变体,其中包含一些混淆和通过网络泄露凭据的能力……这种凭据窃取者的存在可能在一定程度上回答了Kobalos的传播方式。使用受感染计算机的SSH客户端的任何人都将捕获其凭据。


由于将Kobalos封装在一个功能中,因此分析Kobalos已证明很困难。该安全公司发现的其他Linux恶意软件通常由几个不同的模块组成,这使得对恶意软件的分析更加容易,因为可以逐个模块地进行分析,从而有效地将恶意软件的功能和特性拼凑在一起。Kobalos是一个单一功能,可以在单个功能内递归调用其任务,这意味着在恶意软件的图片甚至开始浮出水面之前,整个功能都需要被解读。更麻烦的是,恶意软件会加密其所有字符串,从而使分析更加艰巨。研究人员得出结论,


“我们无法确定Kobalos运营商的意图。受到感染的计算机的系统管理员没有发现除SSH凭据窃取程序以外的其他恶意软件。我们也无法访问正在运行的运营商的网络流量捕获信息……将Kobalos紧密地包含在一个功能中,以及使用现有的开放端口来访问Kobalos使得这种威胁更加难以发现。希望我们今天在新出版物中揭示的细节将有助于提高人们对这种威胁的认识,并将其活动放在显微镜下。这种复杂性仅在Linux恶意软件中很少见。鉴于它比平均水平还先进,并且它损害了相当大的组织,因此Kobalos可能会运行一段时间。


黑客十字准线中的HPC集群

Kobalos并不是攻击者最近针对的HPC群集的唯一实例。到2020年年中,有关英国国家超级计算服务ARCHER的工作开始浮出水面。攻击四天后,所有服务尚未完全恢复。当时,美国当局警告说,代表中国政府开展工作的由国家资助的攻击者正在针对参与COVID-19研究的学术,制药和医疗机构的网络。


ARCHER可能已受到这些操作的影响,因为它为需要运行大型计算和模拟(例如与COVID-19暴发建模相关的实验)的学术研究人员和工业用户提供了超级计算服务。ARCHER服务适用于英国和其他国家/地区的研究人员。对于那些对技术规格感兴趣的人,其核心硬件包括具有111,080个Intel Ivy Bridge处理核心的Cray XC30大规模并行超级计算机。


最初的Archer服务于2013年11月启动,目前正在过渡到具有748,544个AMD内核的28 petaflops Cray超级计算机上。该事件于5月11日首次向公众披露,该事件被描述为涉及ARCHER登录节点上的漏洞,并使该服务脱机。


在欧洲网格基础设施(EGI)CSIRT咨询中,官员们发现了两个单独的HPC实例遭到黑客攻击的情况。波兰,加拿大和中国的服务器受到了影响。一起事件涉及到以学术数据中心为目标的黑客,攻击者通过受感染的SSH凭据设法从一个受害者跳到另一个受害者。根据受害人的身份来确定被劫持机器的用途。涉及的任务:

  • XMR挖掘主机(运行隐藏的XMR二进制文件)

  • XMR代理主机。攻击者使用来自XMR挖掘主机的这些主机连接到其他XMR代理主机,并最终连接到实际的挖掘服务器。

  • SOCKS代理主机(在高端口上运行microSOCKS实例)。攻击者通常通过Tor从SSH通过SSH连接到这些主机。Tor也使用MicroSOCKS。

  • 隧道主机(SSH隧道)。攻击者通过SSH(漏洞帐户)连接并配置NAT PREROUTING(通常用于访问私有IP空间)。

针对加密货币挖矿和部署加密挖矿恶意软件而针对HPC群集被认为是许多加密挖矿黑客的圣杯目标。提供给黑客挖掘的主要CPU和GPU资源将被颠覆为加密挖掘。这可能会导致更快,更有效的挖掘,尽管如果长时间进行则是非法的,并且在此期间仍需要检测不到黑客的恶意软件。


鉴于HPC集群将对世界变化的技术进行仿真,因此毫无疑问,政府资助的组织会将这些机器作为目标来获取它们包含的大量信息。不仅是政府资助的黑客,而且还包括从事企业间谍活动的黑客。

Linux - XMR恶意软件针对高性能计算机

本文始发于微信公众号(Ots安全):Linux - XMR恶意软件针对高性能计算机

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: