Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Botnetek SSHStalker botnet

SSHStalker botnet

Mezo -ra Botnetek, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Kiberbiztonsági elemzők lelepleztek egy SSHStalker néven ismert botnetműveletet, amely az Internet Relay Chat (IRC) protokollt használja a parancs-és-vezérlés (C2) kommunikációhoz. A hagyományos IRC botnetmechanika és az automatizált tömeges kompromittálódási technikák ötvözésével ez a kampány az infrastruktúra beszivárgásának kiszámított és módszeres megközelítését tükrözi.

A modern botnetekkel ellentétben, amelyek a gyors bevételszerzést helyezik előtérbe, az SSHStalker a kitartást és az ellenőrzött terjeszkedést hangsúlyozza, ami inkább egy potenciálisan stratégiai célt jelez, mintsem az azonnali pénzügyi haszonszerzést.

Kihasználási stratégia: Az elfeledett és a foltozatlan célba vétele

Az SSHStalker lényege, hogy szándékosan a régi Linux rendszerekre összpontosít. Az eszközkészlet 16 Linux kernel sebezhetőséget tartalmaz, amelyek közül sok 2009-ből és 2010-ből származik. Bár nagyrészt hatástalanok a kortárs, teljesen javított rendszerekkel szemben, ezek a sebezhetőségi helyek továbbra is életképesek az elavult vagy elhanyagolt infrastruktúrával szemben.

A kampány során kihasznált jelentős sebezhetőségek közé tartozik a CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 és CVE-2010-3437. Ez a régebbi hibákra való támaszkodás egy pragmatikus stratégiát mutat: a hosszú távú, örökölt környezetek kihasználását, amelyek gyakran kimaradnak a modern biztonsági felügyelet alól.

Féregszerű terjeszkedés SSH automatizáláson keresztül

Az SSHStalker automatizált szkennelési képességeket integrál a hatókörének bővítése érdekében. Egy Golang-alapú szkenner aktívan vizsgálja a 22-es portot, hogy azonosítsa az SSH-szolgáltatásokat veszélyeztető rendszereket. A felfedezést követően a sebezhető gazdagépeket feltörik és IRC-csatornákra regisztrálják, így féregszerűen bővítve a botnetet.

A fertőzés során számos hasznos adat kerül telepítésre, beleértve egy IRC-vezérelt bot és egy Perl-alapú fájlbot variánsait. Ezek a komponensek egy UnrealIRCd szerverhez kapcsolódnak, kijelölt vezérlőcsatornákhoz csatlakoznak, és utasításokra várnak. Az infrastruktúra támogatja az összehangolt, elárasztás jellegű forgalmi támadásokat és a központosított botkezelést.

Ezen képességek ellenére a kampány figyelemre méltóan tartózkodik a kihasználás utáni gyakori monetizációs tevékenységektől, mint például az elosztott szolgáltatásmegtagadási támadások, a proxyjacking vagy a kriptovaluta-bányászat. Ehelyett a feltört rendszerek nagyrészt alvó állapotban maradnak, és folyamatosan hozzáférnek. Ez a visszafogott működési helyzet olyan lehetséges felhasználási esetekre utal, mint a tesztelés, a hozzáférés-megtartás vagy a jövőbeni összehangolt műveletek.

Lopakodás, kitartás és kriminalisztikai védelem

Az SSHStalker egyik meghatározó jellemzője a működési lopakodás. A rosszindulatú program naplótisztító segédprogramokat telepít, amelyek manipulálják az utmp, wtmp és lastlog rekordokat a jogosulatlan SSH hozzáférés elrejtése érdekében. Egyedi C programok futnak a rosszindulatú tevékenységek nyomainak eltávolítására a rendszernaplókból, csökkentve a forenzikus láthatóságot.

A rugalmasság biztosítása érdekében az eszközkészlet tartalmaz egy életben tartó mechanizmust, amely leállítás esetén 60 másodpercen belül újraindítja az elsődleges kártevőfolyamatot. Ez a fennmaradó stratégia növeli a tartósságot a veszélyeztetett környezetekben.

Stadion Infrastruktúra és Támadó Eszköztár

A kapcsolódó tesztelési infrastruktúra elemzése feltárta a támadó eszközök és a korábban dokumentált rosszindulatú programok széles tárházát. Az eszközkészlet a következőket tartalmazza:

  • A lopakodás fokozására és a perzisztencia fenntartására tervezett rootkitek
  • Kriptovaluta bányászok
  • Egy Python szkript, amely egy „weboldal grabber” nevű bináris fájlt futtat, hogy sebezhető webhelyekről begyűjtse a kiszivárgott Amazon Web Services (AWS) hitelesítő adatokat.
  • EnergyMech, egy IRC bot, amely lehetővé teszi a parancsok vezérlését és a távoli parancsok végrehajtását

Ez a gyűjtemény egy rugalmas működési keretrendszert emel ki, amely képes alkalmazkodni több támadási célhoz.

Attribúciós utalások és működési átfedés

Az IRC csatornákon és a konfigurációs szólistákon található jelzők lehetséges román eredetre utalnak, beleértve a román stílusú becenevek és szleng jelenlétét. Ezenkívül a működési jellemzők jelentősen átfedik az Outlaw (más néven Dota) néven ismert hackercsoport jellemzőit, ami potenciális kapcsolatra vagy közös kereskedelmi gyakorlatra utal.

Érett hangszerelés az újszerű kiaknázás helyett

Az SSHStalker nem nulladik napi sebezhetőségekre vagy úttörő rootkit-fejlesztésre támaszkodik. Ehelyett a kampány fegyelmezett működési ellenőrzést és hatékony összehangolást mutat be. Az alapvető bot- és alacsony szintű komponensek elsősorban C nyelven íródtak, a shell szkriptek pedig a biztonsági rések megőrzését és az automatizálást kezelik. A Pythont és a Perlt szelektíven használják a segédprogramok funkcióihoz és a fertőzési láncon belüli támogatási feladatokhoz.

Ez a kampány egy strukturált, skálázható, tömeges kompromisszumokat célzó munkafolyamatot példáz, amely az infrastruktúra újrahasznosítását, az automatizálást és a hosszú távú fenntarthatóságot hangsúlyozza a különféle Linux környezetekben. Az innováció helyett az ereje a végrehajtásban, a koordinációban és a figyelmen kívül hagyott rendszerek stratégiai kiaknázásában rejlik.

Felkapott

Nem jogosult üzenetek küldésére E-mail átverés

Adathalászat, Spam
A mai fenyegetési környezetben kritikus fontosságú, hogy résen legyünk, amikor váratlan e-mailek érkeznek a postaládánkba. A kiberbűnözők rendszeresen kiadják magukat szolgáltatóknak, hogy kihasználják a bizalmat és a sürgősséget, abban a reményben, hogy a címzettek előbb cselekednek, mint gondolkodnak. Egy ilyen példa az „Önnek nincs engedélye üzenetek küldésére” e-mailes átverés, egy...

Legnézettebb

Betöltés...