SSHStalker বটনেট

সাইবার নিরাপত্তা বিশ্লেষকরা SSHStalker নামে পরিচিত একটি বটনেট অপারেশন আবিষ্কার করেছেন, যা কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগের জন্য ইন্টারনেট রিলে চ্যাট (IRC) প্রোটোকল ব্যবহার করে। ঐতিহ্যবাহী IRC বটনেট মেকানিক্সকে স্বয়ংক্রিয় গণ-আপস কৌশলের সাথে একত্রিত করে, এই প্রচারণা অবকাঠামো অনুপ্রবেশের জন্য একটি গণনাকৃত এবং পদ্ধতিগত পদ্ধতির প্রতিফলন ঘটায়।

দ্রুত নগদীকরণকে অগ্রাধিকার দেয় এমন আধুনিক বটনেটের বিপরীতে, SSHStalker তাৎক্ষণিক আর্থিক লাভের পরিবর্তে একটি সম্ভাব্য কৌশলগত উদ্দেশ্যের ইঙ্গিত দিয়ে স্থায়িত্ব এবং নিয়ন্ত্রিত সম্প্রসারণের উপর জোর দেয়।

শোষণ কৌশল: ভুলে যাওয়া এবং অপ্রকাশিতদের লক্ষ্য করে

SSHStalker-এর মূলে রয়েছে লিগ্যাসি লিনাক্স সিস্টেমের উপর ইচ্ছাকৃতভাবে জোর দেওয়া। এই টুলকিটে ১৬টি লিনাক্স কার্নেল দুর্বলতার একটি সংগ্রহ রয়েছে, যার অনেকগুলি ২০০৯ এবং ২০১০ সালের। যদিও সমসাময়িক, সম্পূর্ণ প্যাচ করা সিস্টেমের বিরুদ্ধে মূলত অকার্যকর, তবুও এই শোষণগুলি পুরানো বা অবহেলিত অবকাঠামোর বিরুদ্ধে কার্যকর থাকে।

প্রচারণায় ব্যবহৃত উল্লেখযোগ্য দুর্বলতাগুলির মধ্যে রয়েছে CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, এবং CVE-2010-3437। পুরোনো ত্রুটিগুলির উপর এই নির্ভরতা একটি বাস্তববাদী কৌশল প্রদর্শন করে: দীর্ঘ-লেজের উত্তরাধিকারী পরিবেশকে কাজে লাগানো যা প্রায়শই আধুনিক নিরাপত্তা তদারকি এড়িয়ে যায়।

SSH অটোমেশনের মাধ্যমে কৃমির মতো সম্প্রসারণ

SSHStalker তার নাগাল প্রসারিত করার জন্য স্বয়ংক্রিয় স্ক্যানিং ক্ষমতাগুলিকে একীভূত করে। একটি গোল্যাং-ভিত্তিক স্ক্যানার SSH পরিষেবাগুলি প্রকাশকারী সিস্টেমগুলি সনাক্ত করতে সক্রিয়ভাবে পোর্ট 22 অনুসন্ধান করে। একবার আবিষ্কার হয়ে গেলে, সংবেদনশীল হোস্টগুলিকে আপোস করা হয় এবং IRC চ্যানেলগুলিতে নথিভুক্ত করা হয়, কার্যকরভাবে বটনেটকে কীটের মতো পদ্ধতিতে প্রসারিত করে।

সংক্রমণের সময় বেশ কিছু পেলোড স্থাপন করা হয়, যার মধ্যে রয়েছে একটি IRC-নিয়ন্ত্রিত বটের রূপ এবং একটি Perl-ভিত্তিক ফাইল বট। এই উপাদানগুলি একটি UnrealIRCd সার্ভারের সাথে সংযোগ স্থাপন করে, মনোনীত নিয়ন্ত্রণ চ্যানেলগুলিতে যোগদান করে এবং নির্দেশাবলীর জন্য অপেক্ষা করে। অবকাঠামো সমন্বিত বন্যা-শৈলীর ট্র্যাফিক আক্রমণ এবং কেন্দ্রীভূত বট ব্যবস্থাপনা সমর্থন করে।

এই ক্ষমতা থাকা সত্ত্বেও, প্রচারাভিযানটি শোষণ-পরবর্তী সাধারণ নগদীকরণ কার্যকলাপ যেমন বিতরণকৃত পরিষেবা অস্বীকার আক্রমণ, প্রক্সিজ্যাকিং, বা ক্রিপ্টোকারেন্সি মাইনিং থেকে বিরত থাকে। পরিবর্তে, আপোস করা সিস্টেমগুলি মূলত সুপ্ত থাকে, স্থায়ী অ্যাক্সেস বজায় রাখে। এই সংযত অপারেশনাল ভঙ্গি স্টেজিং, অ্যাক্সেস ধরে রাখা বা ভবিষ্যতের সমন্বিত ক্রিয়াকলাপের মতো সম্ভাব্য ব্যবহারের ক্ষেত্রে পরামর্শ দেয়।

গোপনতা, অধ্যবসায় এবং অ্যান্টি-ফরেনসিক

SSHStalker-এর একটি গুরুত্বপূর্ণ বৈশিষ্ট্য হলো অপারেশনাল স্টিলথ। এই ম্যালওয়্যারটি লগ-ক্লিনিং ইউটিলিটি ব্যবহার করে যা utmp, wtmp এবং lastlog রেকর্ডগুলিকে ম্যানিপুলেট করে অননুমোদিত SSH অ্যাক্সেস গোপন করে। সিস্টেম লগ থেকে ক্ষতিকারক কার্যকলাপের চিহ্ন মুছে ফেলার জন্য কাস্টম C প্রোগ্রামগুলি কার্যকর করা হয়, যা ফরেনসিক দৃশ্যমানতা হ্রাস করে।

স্থিতিস্থাপকতা নিশ্চিত করার জন্য, টুলকিটে একটি কিপ-লাইভ মেকানিজম অন্তর্ভুক্ত রয়েছে যা বন্ধ হয়ে গেলে ৬০ সেকেন্ডের মধ্যে প্রাথমিক ম্যালওয়্যার প্রক্রিয়াটি পুনরায় চালু করার জন্য ডিজাইন করা হয়েছে। এই স্থায়িত্ব কৌশলটি ঝুঁকিপূর্ণ পরিবেশে স্থায়িত্বকে শক্তিশালী করে।

স্টেজিং অবকাঠামো এবং আক্রমণাত্মক সরঞ্জাম আর্সেনাল

সংশ্লিষ্ট স্টেজিং অবকাঠামো বিশ্লেষণ করে আক্রমণাত্মক সরঞ্জাম এবং পূর্বে নথিভুক্ত ম্যালওয়্যারের একটি বিস্তৃত ভাণ্ডার প্রকাশ পেয়েছে। টুলকিটে অন্তর্ভুক্ত রয়েছে:

• গোপনীয়তা বৃদ্ধি এবং স্থায়িত্ব বজায় রাখার জন্য ডিজাইন করা রুটকিট
• ক্রিপ্টোকারেন্সি মাইনাররা
• একটি পাইথন স্ক্রিপ্ট যা 'ওয়েবসাইট গ্র্যাবার' নামে একটি বাইনারি কার্যকর করে দুর্বল ওয়েবসাইটগুলি থেকে উন্মুক্ত অ্যামাজন ওয়েব সার্ভিসেস (AWS) শংসাপত্র সংগ্রহ করে।
• EnergyMech, একটি IRC বট যা কমান্ড-এন্ড-কন্ট্রোল এবং রিমোট কমান্ড এক্সিকিউশন সক্ষম করে।

এই সংগ্রহটি একাধিক আক্রমণের লক্ষ্যবস্তুর সাথে খাপ খাইয়ে নিতে সক্ষম একটি নমনীয় কর্মক্ষম কাঠামো তুলে ধরে।

অ্যাট্রিবিউশন ক্লু এবং অপারেশনাল ওভারল্যাপ

আইআরসি চ্যানেল এবং কনফিগারেশন ওয়ার্ডলিস্টের মধ্যে সূচকগুলি সম্ভাব্য রোমানিয়ান উৎপত্তির ইঙ্গিত দেয়, যার মধ্যে রোমানিয়ান-শৈলীর ডাকনাম এবং অপভাষার উপস্থিতি অন্তর্ভুক্ত। অতিরিক্তভাবে, অপারেশনাল বৈশিষ্ট্যগুলি আউটল (ডোটা নামেও পরিচিত) নামে পরিচিত হ্যাকিং গোষ্ঠীর সাথে উল্লেখযোগ্যভাবে ওভারল্যাপ করে, যা সম্ভাব্য সংযুক্তি বা ভাগ করা ট্রেডক্রাফ্ট নির্দেশ করে।

উপন্যাস শোষণের উপর পরিণত অর্কেস্ট্রেশন

SSHStalker জিরো-ডে দুর্বলতা বা যুগান্তকারী রুটকিট ডেভেলপমেন্টের উপর নির্ভর করে না। পরিবর্তে, প্রচারাভিযানটি সুশৃঙ্খল অপারেশনাল নিয়ন্ত্রণ এবং কার্যকর অর্কেস্ট্রেশন প্রদর্শন করে। কোর বট এবং নিম্ন-স্তরের উপাদানগুলি মূলত C তে লেখা হয়, শেল স্ক্রিপ্টগুলি স্থায়িত্ব এবং অটোমেশন পরিচালনা করে। সংক্রমণ শৃঙ্খলের মধ্যে ইউটিলিটি ফাংশন এবং সহায়তা কাজের জন্য পাইথন এবং পার্ল নির্বাচনীভাবে ব্যবহৃত হয়।

এই প্রচারণাটি একটি কাঠামোগত, স্কেলেবল গণ-আপস কর্মপ্রবাহের উদাহরণ দেয় যা বিভিন্ন লিনাক্স পরিবেশে অবকাঠামো পুনর্ব্যবহার, অটোমেশন এবং দীর্ঘমেয়াদী স্থায়িত্বের উপর জোর দেয়। উদ্ভাবনের পরিবর্তে, এর শক্তি কার্যকরকরণ, সমন্বয় এবং উপেক্ষিত সিস্টেমগুলির কৌশলগত শোষণের মধ্যে নিহিত।