បណ្តាញ SSHStalker
អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញប្រតិបត្តិការ botnet ដែលគេស្គាល់ថា SSHStalker ដែលប្រើប្រាស់ពិធីការ Internet Relay Chat (IRC) សម្រាប់ការទំនាក់ទំនង Command-and-Control (C2)។ តាមរយៈការបញ្ចូលគ្នានូវយន្តការ botnet IRC បែបប្រពៃណីជាមួយនឹងបច្ចេកទេសសម្របសម្រួលដោយស្វ័យប្រវត្តិ យុទ្ធនាការនេះឆ្លុះបញ្ចាំងពីវិធីសាស្រ្តដែលបានគណនា និងជាប្រព័ន្ធចំពោះការជ្រៀតចូលហេដ្ឋារចនាសម្ព័ន្ធ។
មិនដូច botnet ទំនើបៗដែលផ្តល់អាទិភាពដល់ការរកប្រាក់យ៉ាងឆាប់រហ័ស SSHStalker សង្កត់ធ្ងន់លើការតស៊ូ និងការពង្រីកដែលគ្រប់គ្រង ដែលជាសញ្ញានៃគោលបំណងយុទ្ធសាស្ត្រដែលអាចកើតមាន ជាជាងការទទួលបានប្រាក់ចំណេញហិរញ្ញវត្ថុភ្លាមៗ។
តារាងមាតិកា
យុទ្ធសាស្ត្រកេងប្រវ័ញ្ច៖ ការកំណត់គោលដៅលើអ្នកដែលត្រូវបានគេបំភ្លេចចោល និងអ្នកដែលមិនទាន់បានជួសជុល
ស្នូលនៃ SSHStalker គឺជាការផ្តោតអារម្មណ៍ដោយចេតនាលើប្រព័ន្ធ Linux ចាស់ៗ។ សំណុំឧបករណ៍នេះរួមបញ្ចូលនូវភាពងាយរងគ្រោះនៃខឺណែល Linux ចំនួន 16 ដែលភាគច្រើនមានតាំងពីឆ្នាំ 2009 និង 2010។ ខណៈពេលដែលភាគច្រើនគ្មានប្រសិទ្ធភាពប្រឆាំងនឹងប្រព័ន្ធសហសម័យ និងត្រូវបានជួសជុលយ៉ាងពេញលេញ ការកេងប្រវ័ញ្ចទាំងនេះនៅតែអាចអនុវត្តបានប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធហួសសម័យ ឬត្រូវបានគេមិនអើពើ។
ភាពងាយរងគ្រោះគួរឱ្យកត់សម្គាល់ដែលត្រូវបានទាញយកប្រយោជន៍ពីយុទ្ធនាការនេះរួមមាន CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, និង CVE-2010-3437។ ការពឹងផ្អែកលើចំណុចខ្សោយចាស់ៗនេះបង្ហាញពីយុទ្ធសាស្ត្រជាក់ស្តែងមួយ៖ ការកេងប្រវ័ញ្ចបរិស្ថានចាស់ៗដែលជារឿយៗគេចផុតពីការត្រួតពិនិត្យសុវត្ថិភាពទំនើប។
ការពង្រីកដូចមេរោគ Worm តាមរយៈស្វ័យប្រវត្តិកម្ម SSH
SSHStalker រួមបញ្ចូលសមត្ថភាពស្កេនដោយស្វ័យប្រវត្តិដើម្បីពង្រីកវិសាលភាពរបស់ខ្លួន។ ម៉ាស៊ីនស្កេនដែលមានមូលដ្ឋានលើ Golang ស៊ើបអង្កេតច្រក 22 យ៉ាងសកម្មដើម្បីកំណត់ប្រព័ន្ធដែលបង្ហាញសេវាកម្ម SSH។ នៅពេលដែលត្រូវបានរកឃើញ ម៉ាស៊ីនដែលងាយរងគ្រោះត្រូវបានសម្របសម្រួល និងចុះឈ្មោះទៅក្នុងឆានែល IRC ដែលពង្រីកបណ្តាញ botnet យ៉ាងមានប្រសិទ្ធភាពក្នុងលក្ខណៈដូចដង្កូវ។
បន្ទុកផ្ទុកទិន្នន័យជាច្រើនត្រូវបានដាក់ពង្រាយក្នុងអំឡុងពេលឆ្លងមេរោគ រួមទាំងវ៉ារ្យ៉ង់នៃបូតដែលគ្រប់គ្រងដោយ IRC និងបូតឯកសារដែលមានមូលដ្ឋានលើ Perl។ សមាសធាតុទាំងនេះភ្ជាប់ទៅម៉ាស៊ីនមេ UnrealIRCd ចូលរួមឆានែលត្រួតពិនិត្យដែលបានកំណត់ និងរង់ចាំការណែនាំ។ ហេដ្ឋារចនាសម្ព័ន្ធគាំទ្រការវាយប្រហារចរាចរណ៍បែបទឹកជំនន់ដែលសម្របសម្រួល និងការគ្រប់គ្រងបូតកណ្តាល។
បើទោះបីជាមានសមត្ថភាពទាំងនេះក៏ដោយ យុទ្ធនាការនេះជាពិសេសចៀសវាងការចូលរួមក្នុងសកម្មភាពរកប្រាក់បន្ទាប់ពីការកេងប្រវ័ញ្ចទូទៅដូចជាការវាយប្រហារបដិសេធសេវាកម្មចែកចាយ ការលួចប្រូកស៊ី ឬការជីកយករ៉ែរូបិយប័ណ្ណគ្រីបតូ។ ផ្ទុយទៅវិញ ប្រព័ន្ធដែលរងការសម្របសម្រួលភាគច្រើននៅតែអសកម្ម ដោយរក្សាការចូលប្រើជាប់លាប់។ ឥរិយាបថប្រតិបត្តិការដែលមានការរឹតបន្តឹងនេះបង្ហាញពីករណីប្រើប្រាស់ដែលអាចកើតមានដូចជាការរៀបចំដំណាក់កាល ការរក្សាការចូលប្រើ ឬប្រតិបត្តិការសម្របសម្រួលនាពេលអនាគត។
ការលាក់បាំង ការតស៊ូ និងការប្រឆាំងនឹងកោសល្យវិច្ច័យ
ការលួចលាក់ប្រតិបត្តិការគឺជាលក្ខណៈពិសេសមួយរបស់ SSHStalker។ មេរោគនេះដាក់ពង្រាយឧបករណ៍សម្អាតកំណត់ហេតុដែលរៀបចំកំណត់ត្រា utmp, wtmp និង lastlog ដើម្បីលាក់ការចូលប្រើ SSH ដែលគ្មានការអនុញ្ញាត។ កម្មវិធី C ផ្ទាល់ខ្លួនត្រូវបានប្រតិបត្តិដើម្បីលុបដាននៃសកម្មភាពព្យាបាទចេញពីកំណត់ហេតុប្រព័ន្ធ ដែលកាត់បន្ថយភាពមើលឃើញផ្នែកកោសល្យវិច្ច័យ។
ដើម្បីធានាបាននូវភាពធន់ សំណុំឧបករណ៍នេះរួមបញ្ចូលយន្តការរក្សាភាពរស់រវើកដែលត្រូវបានរចនាឡើងដើម្បីបើកដំណើរការដំណើរការមេរោគចម្បងឡើងវិញក្នុងរយៈពេល 60 វិនាទីប្រសិនបើត្រូវបានបញ្ឈប់។ យុទ្ធសាស្ត្រតស៊ូនេះពង្រឹងភាពធន់នៃទីតាំងនៅទូទាំងបរិស្ថានដែលរងការគំរាមកំហែង។
ហេដ្ឋារចនាសម្ព័ន្ធសម្រាប់ការរៀបចំការប្រកួត និងឃ្លាំងឧបករណ៍វាយលុក
ការវិភាគលើហេដ្ឋារចនាសម្ព័ន្ធដំណាក់កាលដែលពាក់ព័ន្ធបានបង្ហាញពីឃ្លាំងផ្ទុកយ៉ាងទូលំទូលាយនៃឧបករណ៍វាយប្រហារ និងមេរោគដែលបានចងក្រងជាឯកសារពីមុន។ សំណុំឧបករណ៍រួមមាន៖
- Rootkits ត្រូវបានរចនាឡើងដើម្បីបង្កើនការលួចលាក់ និងរក្សាភាពស្ថិតស្ថេរ
- អ្នករុករករ៉ែរូបិយប័ណ្ណឌីជីថល
- ស្គ្រីប Python ដែលដំណើរការប្រព័ន្ធគោលពីរដែលមានឈ្មោះថា 'website grabber' ដើម្បីប្រមូលព័ត៌មានសម្ងាត់ Amazon Web Services (AWS) ដែលលាតត្រដាងពីគេហទំព័រដែលងាយរងគ្រោះ
- EnergyMech ដែលជា bot IRC ដែលអាចឱ្យមានការបញ្ជា និងការគ្រប់គ្រង និងការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ
ការប្រមូលផ្ដុំនេះបង្ហាញពីក្របខ័ណ្ឌប្រតិបត្តិការដែលអាចបត់បែនបានដែលមានសមត្ថភាពសម្របខ្លួនទៅនឹងគោលបំណងវាយប្រហារច្រើន។
តម្រុយនៃការសន្មត់ និងការត្រួតស៊ីគ្នានៃប្រតិបត្តិការ
សូចនាករនៅក្នុងឆានែល IRC និងបញ្ជីពាក្យកំណត់រចនាសម្ព័ន្ធបង្ហាញពីប្រភពដើមរ៉ូម៉ានីដែលអាចកើតមាន រួមទាំងវត្តមាននៃឈ្មោះហៅក្រៅ និងពាក្យស្លោកបែបរ៉ូម៉ានី។ លើសពីនេះ លក្ខណៈប្រតិបត្តិការត្រួតស៊ីគ្នាយ៉ាងខ្លាំងជាមួយនឹងលក្ខណៈប្រតិបត្តិការរបស់ក្រុមលួចចូលដែលគេស្គាល់ថា Outlaw (ហៅម្យ៉ាងទៀតថា Dota) ដែលបង្ហាញពីសម្ព័ន្ធភាព ឬសិប្បកម្មរួមគ្នាដែលអាចកើតមាន។
ការសម្របសម្រួលចាស់ទុំលើការកេងប្រវ័ញ្ចថ្មី
SSHStalker មិនពឹងផ្អែកលើភាពងាយរងគ្រោះ zero-day ឬការអភិវឌ្ឍ rootkit ដ៏ទំនើបនោះទេ។ ផ្ទុយទៅវិញ យុទ្ធនាការនេះបង្ហាញពីការគ្រប់គ្រងប្រតិបត្តិការប្រកបដោយវិន័យ និងការរៀបចំប្រកបដោយប្រសិទ្ធភាព។ bot ស្នូល និងសមាសធាតុកម្រិតទាបត្រូវបានសរសេរជាចម្បងជាភាសា C ជាមួយនឹងស្គ្រីប shell ដែលគ្រប់គ្រងភាពស្ថិតស្ថេរ និងស្វ័យប្រវត្តិកម្ម។ Python និង Perl ត្រូវបានប្រើជាជម្រើសសម្រាប់មុខងារឧបករណ៍ប្រើប្រាស់ និងភារកិច្ចគាំទ្រនៅក្នុងខ្សែសង្វាក់ឆ្លង។
យុទ្ធនាការនេះបង្ហាញពីលំហូរការងារសម្របសម្រួលទ្រង់ទ្រាយធំដែលមានរចនាសម្ព័ន្ធ និងអាចធ្វើមាត្រដ្ឋានបាន ដែលសង្កត់ធ្ងន់លើការកែច្នៃហេដ្ឋារចនាសម្ព័ន្ធ ស្វ័យប្រវត្តិកម្ម និងការតស៊ូយូរអង្វែងនៅទូទាំងបរិស្ថាន Linux ចម្រុះ។ ជាជាងការច្នៃប្រឌិត ចំណុចខ្លាំងរបស់វាស្ថិតនៅក្នុងការអនុវត្ត ការសម្របសម្រួល និងការកេងប្រវ័ញ្ចជាយុទ្ធសាស្ត្រនៃប្រព័ន្ធដែលត្រូវបានមើលរំលង។
