SSHStalker ботнет
Анализатори по киберсигурност разкриха ботнет операция, известна като SSHStalker, която използва протокола Internet Relay Chat (IRC) за комуникация тип „командване и контрол“ (C2). Чрез комбиниране на традиционните механики на ботнет IRC с автоматизирани техники за масово компрометиране, тази кампания отразява пресметнат и методичен подход към проникването в инфраструктурата.
За разлика от съвременните ботнети, които дават приоритет на бързата монетизация, SSHStalker набляга на постоянството и контролираното разширяване, сигнализирайки за потенциално стратегическа цел, а не за незабавна финансова печалба.
Съдържание
Стратегия за експлоатация: Насочване към забравените и незакърпените
В основата на SSHStalker е умишленият фокус върху остарели Linux системи. Инструментариумът включва колекция от 16 уязвимости в ядрото на Linux, много от които датират от 2009 и 2010 г. Макар и до голяма степен неефективни срещу съвременни, напълно актуализирани системи, тези експлойти остават жизнеспособни срещу остаряла или пренебрегната инфраструктура.
Забележителните уязвимости, използвани в кампанията, включват CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 и CVE-2010-3437. Това разчитане на по-стари недостатъци демонстрира прагматична стратегия: използване на „дългоопашати“ среди, които често се изплъзват на съвременния надзор за сигурност.
Разширяване, подобно на червей, чрез SSH автоматизация
SSHStalker интегрира възможности за автоматизирано сканиране, за да разшири обхвата си. Скенер, базиран на Golang, активно сондира порт 22, за да идентифицира системи, които излагат на риск SSH услугите. Веднъж открити, уязвимите хостове биват компрометирани и записани в IRC канали, като по този начин ефективно разширяват ботнет мрежата по начин, подобен на червей.
По време на инфекцията се разполагат няколко полезни натоварвания, включително варианти на бот, контролиран от IRC, и файлов бот, базиран на Perl. Тези компоненти се свързват със сървър UnrealIRCd, присъединяват се към определени контролни канали и чакат инструкции. Инфраструктурата поддържа координирани трафик атаки от типа „флуд“ и централизирано управление на ботовете.
Въпреки тези възможности, кампанията забележително се въздържа от участие в обичайни дейности за монетизация след експлоатация, като например разпределени атаки за отказ от услуга, проксиджекинг или добив на криптовалута. Вместо това, компрометираните системи остават до голяма степен спящи, поддържайки постоянен достъп. Тази ограничена оперативна позиция предполага потенциални случаи на употреба, като например временно разпределение, запазване на достъпа или бъдещи координирани операции.
Стелт, постоянство и антикриминалистика
Оперативната скритост е определяща характеристика на SSHStalker. Зловредният софтуер използва помощни програми за почистване на лог файлове, които манипулират utmp, wtmp и lastlog записи, за да скрият неоторизиран SSH достъп. Изпълняват се персонализирани C програми, за да се премахнат следи от злонамерена дейност от системните лог файлове, намалявайки криминалистичната видимост.
За да се гарантира устойчивост, инструментариумът включва механизъм за поддържане на активността, предназначен да рестартира основния процес на зловредния софтуер в рамките на 60 секунди, ако бъде прекъснат. Тази стратегия за устойчивост засилва устойчивостта в компрометирани среди.
Подготвителна инфраструктура и арсенал за офанзивни инструменти
Анализът на свързаната с тестовата инфраструктура разкри голямо хранилище от офанзивни инструменти и предварително документиран зловреден софтуер. Наборът от инструменти включва:
- Руткитове, предназначени да подобрят скритността и да поддържат устойчивост
- Миньори на криптовалути
- Python скрипт, който изпълнява двоичен файл с име „website grabber“, за да събира открити идентификационни данни за Amazon Web Services (AWS) от уязвими уебсайтове.
- EnergyMech, IRC бот, позволяващ командно-контролен режим и дистанционно изпълнение на команди
Тази колекция подчертава гъвкава оперативна рамка, способна да се адаптира към множество цели на атаката.
Указания за приписване и оперативно припокриване
Индикатори в IRC каналите и списъците с думи в конфигурацията предполагат евентуален румънски произход, включително наличието на прякори и жаргон в румънски стил. Освен това, оперативните характеристики се припокриват значително с тези на хакерската група, известна като Outlaw (наричана още Dota), което показва потенциална принадлежност или споделени търговски умения.
Зряла оркестрация вместо експлоатация на нови неща
SSHStalker не разчита на zero-day уязвимости или разработване на новаторски руткитове. Вместо това, кампанията демонстрира дисциплиниран оперативен контрол и ефективна оркестрация. Основните ботове и ниско ниво компоненти са написани предимно на C, като shell скриптовете управляват постоянството и автоматизацията. Python и Perl се използват избирателно за полезни функции и поддържащи задачи във веригата на заразяване.
Тази кампания е пример за структуриран, мащабируем работен процес, основан на масови компромиси, който набляга на рециклирането на инфраструктурата, автоматизацията и дългосрочната устойчивост в различни Linux среди. Силата ѝ се крие не в иновациите, а в изпълнението, координацията и стратегическото използване на пренебрегвани системи.
