قیمت چند مجوز تخفیف
پایگاه داده تهدید بات نت ها بات‌نت SSHStalker

بات‌نت SSHStalker

تا Mezo در بات نت ها, تهدید مداوم پیشرفته (APT)
ترجمه به:

تحلیلگران امنیت سایبری یک عملیات بات‌نت به نام SSHStalker را کشف کرده‌اند که از پروتکل Internet Relay Chat (IRC) برای ارتباطات Command-and-Control (C2) استفاده می‌کند. این کمپین با ترکیب مکانیزم‌های سنتی بات‌نت IRC با تکنیک‌های نفوذ گسترده خودکار، رویکردی حساب‌شده و روشمند برای نفوذ به زیرساخت‌ها را نشان می‌دهد.

برخلاف بات‌نت‌های مدرن که کسب درآمد سریع را در اولویت قرار می‌دهند، SSHStalker بر پایداری و گسترش کنترل‌شده تأکید دارد و به جای سود مالی فوری، یک هدف بالقوه استراتژیک را نشان می‌دهد.

استراتژی بهره‌برداری: هدف قرار دادن افراد فراموش‌شده و وصله‌نشده

در هسته SSHStalker تمرکز عمدی بر سیستم‌های لینوکس قدیمی نهفته است. این ابزار شامل مجموعه‌ای از ۱۶ آسیب‌پذیری هسته لینوکس است که بسیاری از آنها به سال‌های ۲۰۰۹ و ۲۰۱۰ برمی‌گردند. اگرچه این اکسپلویت‌ها در برابر سیستم‌های کاملاً وصله‌شده امروزی تا حد زیادی بی‌اثر هستند، اما در برابر زیرساخت‌های قدیمی یا نادیده گرفته‌شده همچنان قابل استفاده هستند.

آسیب‌پذیری‌های قابل توجهی که در این کمپین مورد استفاده قرار گرفته‌اند عبارتند از CVE-2009-2692، CVE-2009-2698، CVE-2010-3849، CVE-2010-1173، CVE-2009-2267، CVE-2009-2908، CVE-2009-3547، CVE-2010-2959 و CVE-2010-3437. این اتکا به نقص‌های قدیمی‌تر، یک استراتژی عملی را نشان می‌دهد: بهره‌برداری از محیط‌های قدیمیِ دنباله‌دار که اغلب از نظارت امنیتی مدرن فرار می‌کنند.

گسترش کرم‌مانند از طریق اتوماسیون SSH

SSHStalker قابلیت‌های اسکن خودکار را برای گسترش دامنه‌ی دسترسی خود ادغام می‌کند. یک اسکنر مبتنی بر Golang به طور فعال پورت ۲۲ را بررسی می‌کند تا سیستم‌هایی را که سرویس‌های SSH را در معرض خطر قرار می‌دهند، شناسایی کند. پس از کشف، میزبان‌های مستعد به خطر می‌افتند و در کانال‌های IRC ثبت می‌شوند و به طور مؤثر بات‌نت را به روشی کرم‌مانند گسترش می‌دهند.

چندین بار داده (payload) در طول آلودگی مستقر می‌شوند، از جمله انواعی از یک ربات کنترل‌شده توسط IRC و یک ربات فایل مبتنی بر Perl. این اجزا به یک سرور UnrealIRCd متصل می‌شوند، به کانال‌های کنترل تعیین‌شده می‌پیوندند و منتظر دستورالعمل‌ها می‌مانند. این زیرساخت از حملات ترافیکی هماهنگ‌شده به سبک سیل‌آسا و مدیریت متمرکز ربات پشتیبانی می‌کند.

با وجود این قابلیت‌ها، این کمپین به‌طور قابل‌توجهی از انجام فعالیت‌های رایج کسب درآمد پس از بهره‌برداری مانند حملات انکار سرویس توزیع‌شده، پروکسی‌جکینگ یا استخراج ارز دیجیتال خودداری می‌کند. در عوض، سیستم‌های آسیب‌دیده تا حد زیادی غیرفعال باقی می‌مانند و دسترسی مداوم خود را حفظ می‌کنند. این وضعیت عملیاتی محدود، موارد استفاده بالقوه‌ای مانند مرحله‌بندی، حفظ دسترسی یا عملیات هماهنگ‌شده آینده را نشان می‌دهد.

مخفی‌کاری، پایداری و ضد جرم‌شناسی

مخفی‌کاری عملیاتی یکی از ویژگی‌های بارز SSHStalker است. این بدافزار از ابزارهای پاک‌سازی لاگ استفاده می‌کند که رکوردهای utmp، wtmp و lastlog را دستکاری می‌کنند تا دسترسی غیرمجاز به SSH را پنهان کنند. برنامه‌های سفارشی C برای حذف آثار فعالیت‌های مخرب از لاگ‌های سیستم اجرا می‌شوند و قابلیت مشاهده‌ی جرم‌شناسی را کاهش می‌دهند.

برای اطمینان از انعطاف‌پذیری، این ابزار شامل یک مکانیزم زنده نگه‌داشتن است که برای راه‌اندازی مجدد فرآیند بدافزار اولیه در عرض ۶۰ ثانیه در صورت خاتمه یافتن طراحی شده است. این استراتژی پایداری، دوام جای پا را در محیط‌های آسیب‌پذیر تقویت می‌کند.

زیرساخت‌های آماده‌سازی و زرادخانه ابزارهای تهاجمی

تجزیه و تحلیل زیرساخت‌های مرحله‌بندی مرتبط، مخزن گسترده‌ای از ابزارهای تهاجمی و بدافزارهای مستند شده قبلی را آشکار کرده است. این مجموعه ابزار شامل موارد زیر است:

  • روت‌کیت‌هایی که برای افزایش مخفی‌کاری و حفظ پایداری طراحی شده‌اند
  • ماینرهای ارز دیجیتال
  • یک اسکریپت پایتون که یک فایل باینری به نام «website grabber» را اجرا می‌کند تا اعتبارنامه‌های در معرض خطر سرویس‌های وب آمازون (AWS) را از وب‌سایت‌های آسیب‌پذیر جمع‌آوری کند.
  • EnergyMech، یک ربات IRC که امکان فرمان و کنترل و اجرای فرمان از راه دور را فراهم می‌کند.

این مجموعه، یک چارچوب عملیاتی انعطاف‌پذیر را برجسته می‌کند که قادر به سازگاری با اهداف حمله چندگانه است.

سرنخ‌های انتساب و همپوشانی عملیاتی

شاخص‌های موجود در کانال‌های IRC و فهرست‌های کلمات پیکربندی، منشأ احتمالی رومانیایی را نشان می‌دهند، از جمله وجود لقب‌ها و اصطلاحات عامیانه به سبک رومانیایی. علاوه بر این، ویژگی‌های عملیاتی به طور قابل توجهی با ویژگی‌های گروه هکری معروف به Outlaw (که با نام Dota نیز شناخته می‌شود) همپوشانی دارند که نشان‌دهنده وابستگی بالقوه یا فنون تجاری مشترک است.

هماهنگی بالغانه در مقابل بهره‌برداری از رمان

SSHStalker به آسیب‌پذیری‌های روز صفر یا توسعه‌ی پیشگامانه‌ی روت‌کیت متکی نیست. در عوض، این کمپین کنترل عملیاتی منظم و هماهنگی مؤثر را نشان می‌دهد. اجزای اصلی ربات و سطح پایین عمدتاً به زبان C نوشته شده‌اند و اسکریپت‌های پوسته، پایداری و اتوماسیون را مدیریت می‌کنند. پایتون و پرل به صورت انتخابی برای توابع کاربردی و وظایف پشتیبانی در زنجیره‌ی آلودگی استفاده می‌شوند.

این کمپین نمونه‌ای از یک گردش کار ساختاریافته، مقیاس‌پذیر و مبتنی بر سازش جمعی است که بر بازیافت زیرساخت، اتوماسیون و ماندگاری طولانی‌مدت در محیط‌های متنوع لینوکس تأکید دارد. قدرت آن به جای نوآوری، در اجرا، هماهنگی و بهره‌برداری استراتژیک از سیستم‌های نادیده گرفته شده نهفته است.

پرطرفدار

شما مجاز به ارسال پیام نیستید، کلاهبرداری ایمیلی

فیشینگ, هرزنامه
هوشیار ماندن در مواجهه با ایمیل‌های غیرمنتظره در صندوق ورودی، در چشم‌انداز تهدیدهای امروزی بسیار مهم است. مجرمان سایبری معمولاً برای سوءاستفاده از اعتماد و فوریت، خود را به جای ارائه‌دهندگان خدمات جا می‌زنند، به این امید که گیرندگان قبل از فکر کردن، اقدامی انجام دهند. یکی از این نمونه‌ها، کلاهبرداری ایمیلی «شما مجاز به ارسال پیام نیستید» است، یک کمپین فریبنده که هیچ ارتباطی با هیچ شرکت، سازمان...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
26,487
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...