SSHStalker बॉटनेट

साइबर सुरक्षा विश्लेषकों ने एसएसएचएसटॉकर नामक एक बॉटनेट ऑपरेशन का पर्दाफाश किया है, जो कमांड-एंड-कंट्रोल (सी2) संचार के लिए इंटरनेट रिले चैट (आईआरसी) प्रोटोकॉल का उपयोग करता है। पारंपरिक आईआरसी बॉटनेट कार्यप्रणाली को स्वचालित सामूहिक सुरक्षा उल्लंघन तकनीकों के साथ मिलाकर, यह अभियान बुनियादी ढांचे में घुसपैठ के लिए एक सुनियोजित और व्यवस्थित दृष्टिकोण को दर्शाता है।

आधुनिक बॉटनेट्स के विपरीत, जो तीव्र मुद्रीकरण को प्राथमिकता देते हैं, एसएसएचएसटॉकर निरंतरता और नियंत्रित विस्तार पर जोर देता है, जो तत्काल वित्तीय लाभ के बजाय संभावित रणनीतिक उद्देश्य का संकेत देता है।

शोषण रणनीति: उपेक्षित और अनपैच्ड क्षेत्रों को निशाना बनाना

SSHStalker का मूल उद्देश्य पुराने Linux सिस्टमों पर विशेष ध्यान देना है। इस टूलकिट में Linux कर्नेल की 16 कमजोरियों का संग्रह शामिल है, जिनमें से कई 2009 और 2010 की हैं। हालांकि ये कमजोरियां आधुनिक, पूरी तरह से पैच किए गए सिस्टमों के खिलाफ काफी हद तक अप्रभावी हैं, फिर भी ये पुरानी या उपेक्षित प्रणालियों के खिलाफ कारगर साबित हो सकती हैं।

इस अभियान में जिन उल्लेखनीय कमजोरियों का फायदा उठाया गया है, उनमें CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 और CVE-2010-3437 शामिल हैं। पुरानी खामियों पर यह निर्भरता एक व्यावहारिक रणनीति को दर्शाती है: उन पुराने सिस्टमों का फायदा उठाना जो अक्सर आधुनिक सुरक्षा निगरानी से बच निकलते हैं।

एसएसएच स्वचालन के माध्यम से वर्म-जैसे विस्तार

SSHStalker अपनी पहुंच बढ़ाने के लिए स्वचालित स्कैनिंग क्षमताओं को एकीकृत करता है। Golang पर आधारित स्कैनर पोर्ट 22 की सक्रिय रूप से जांच करके उन सिस्टमों की पहचान करता है जो SSH सेवाएं प्रदान करते हैं। एक बार पता चलने पर, संवेदनशील होस्टों को हैक कर लिया जाता है और उन्हें IRC चैनलों में शामिल कर लिया जाता है, जिससे बॉटनेट का विस्तार वर्म की तरह होता है।

संक्रमण के दौरान कई पेलोड तैनात किए जाते हैं, जिनमें आईआरसी-नियंत्रित बॉट और पर्ल-आधारित फ़ाइल बॉट के विभिन्न रूप शामिल हैं। ये घटक अनरियलआईआरसीडी सर्वर से जुड़ते हैं, निर्दिष्ट नियंत्रण चैनलों में शामिल होते हैं और निर्देशों की प्रतीक्षा करते हैं। यह बुनियादी ढांचा समन्वित फ्लड-शैली के ट्रैफ़िक हमलों और केंद्रीकृत बॉट प्रबंधन का समर्थन करता है।

इन क्षमताओं के बावजूद, यह अभियान मुख्य रूप से डिस्ट्रीब्यूटेड डिनायल-ऑफ-सर्विस अटैक, प्रॉक्सीजैकिंग या क्रिप्टोकरेंसी माइनिंग जैसी आम शोषण-पश्चात मुद्रीकरण गतिविधियों में शामिल होने से बचता है। इसके बजाय, प्रभावित सिस्टम काफी हद तक निष्क्रिय रहते हैं और उन तक निरंतर पहुंच बनी रहती है। यह संयमित परिचालन दृष्टिकोण स्टेजिंग, एक्सेस रिटेंशन या भविष्य में समन्वित अभियानों जैसे संभावित उपयोगों का संकेत देता है।

गुप्तता, दृढ़ता और फोरेंसिक-विरोधी

SSHStalker की एक प्रमुख विशेषता इसकी गुप्त कार्यप्रणाली है। यह मैलवेयर लॉग-क्लीनिंग यूटिलिटीज का उपयोग करता है जो अनधिकृत SSH एक्सेस को छिपाने के लिए utmp, wtmp और lastlog फ़ाइलों में हेरफेर करती हैं। सिस्टम लॉग से दुर्भावनापूर्ण गतिविधि के निशान मिटाने के लिए कस्टम C प्रोग्राम चलाए जाते हैं, जिससे फोरेंसिक जांच की संभावना कम हो जाती है।

सुरक्षा सुनिश्चित करने के लिए, टूलकिट में एक कीप-अलाइव तंत्र शामिल है जो मुख्य मैलवेयर प्रक्रिया के समाप्त होने पर 60 सेकंड के भीतर उसे पुनः आरंभ करने के लिए डिज़ाइन किया गया है। यह निरंतरता रणनीति असुरक्षित वातावरणों में भी मज़बूती प्रदान करती है।

स्टेजिंग इंफ्रास्ट्रक्चर और आक्रामक टूलिंग शस्त्रागार

संबंधित स्टेजिंग इंफ्रास्ट्रक्चर के विश्लेषण से आक्रामक उपकरणों और पहले से प्रलेखित मैलवेयर का एक व्यापक भंडार सामने आया है। इस टूलकिट में निम्नलिखित शामिल हैं:

• रूटकिट को गुप्तता बढ़ाने और निरंतरता बनाए रखने के लिए डिज़ाइन किया गया है।
• क्रिप्टोकरेंसी माइनर्स
• एक पायथन स्क्रिप्ट जो 'वेबसाइट ग्रैबर' नामक बाइनरी को निष्पादित करके असुरक्षित वेबसाइटों से अमेज़न वेब सर्विसेज (AWS) के उजागर क्रेडेंशियल्स को प्राप्त करती है।
• EnergyMech, एक IRC बॉट है जो कमांड-एंड-कंट्रोल और रिमोट कमांड निष्पादन को सक्षम बनाता है।

यह संग्रह एक लचीले परिचालन ढांचे को उजागर करता है जो कई आक्रमण उद्देश्यों के अनुकूल होने में सक्षम है।

अभिकथन संकेत और परिचालन ओवरलैप

आईआरसी चैनलों और कॉन्फ़िगरेशन शब्द सूचियों में मौजूद संकेत रोमानियाई मूल की संभावना दर्शाते हैं, जिनमें रोमानियाई शैली के उपनाम और बोलचाल की भाषा का उपयोग शामिल है। इसके अतिरिक्त, परिचालन संबंधी विशेषताएं आउटलॉ (जिसे डोटा भी कहा जाता है) नामक हैकिंग समूह की विशेषताओं से काफी हद तक मेल खाती हैं, जो संभावित संबद्धता या साझा कार्यप्रणाली का संकेत देती हैं।

नवीन शोषण पर परिपक्व समन्वय

SSHStalker किसी भी तरह की ज़ीरो-डे वल्नरेबिलिटी या क्रांतिकारी रूटकिट डेवलपमेंट पर निर्भर नहीं करता है। इसके बजाय, यह अभियान अनुशासित परिचालन नियंत्रण और प्रभावी समन्वय को दर्शाता है। कोर बॉट और निम्न-स्तरीय घटक मुख्य रूप से C भाषा में लिखे गए हैं, जबकि शेल स्क्रिप्ट निरंतरता और स्वचालन का प्रबंधन करती हैं। संक्रमण श्रृंखला के भीतर उपयोगिता कार्यों और सहायक कार्यों के लिए चुनिंदा रूप से पायथन और पर्ल का उपयोग किया जाता है।

यह अभियान एक संरचित, स्केलेबल मास-कॉम्प्रोमाइज़ वर्कफ़्लो का उदाहरण है जो विभिन्न लिनक्स वातावरणों में इंफ्रास्ट्रक्चर रीसाइक्लिंग, स्वचालन और दीर्घकालिक स्थिरता पर ज़ोर देता है। इसकी ताकत नवाचार के बजाय क्रियान्वयन, समन्वय और अनदेखी प्रणालियों के रणनीतिक उपयोग में निहित है।