SSHStalker botnetas
Kibernetinio saugumo analitikai atskleidė botneto operaciją, žinomą kaip SSHStalker, kuri naudoja „Internet Relay Chat“ (IRC) protokolą komandų ir kontrolės (C2) ryšiui. Derindama tradicinę IRC botneto mechaniką su automatizuotais masinio įsilaužimo metodais, ši kampanija atspindi apskaičiuotą ir metodišką požiūrį į infrastruktūros infiltraciją.
Kitaip nei šiuolaikiniai botnetai, kurie teikia pirmenybę greitam pinigų gavimui, „SSHStalker“ pabrėžia atkaklumą ir kontroliuojamą plėtrą, signalizuodamas apie potencialiai strateginį tikslą, o ne apie tiesioginę finansinę naudą.
Turinys
Išnaudojimo strategija: taikymasis į pamirštus ir nelopytus
„SSHStalker“ pagrindas – sąmoningas dėmesys senesnėms „Linux“ sistemoms. Įrankių rinkinyje yra 16 „Linux“ branduolio pažeidžiamumų, daugelis jų atsirado 2009 ir 2010 metais. Nors šie pažeidžiamumai iš esmės neveiksmingi prieš šiuolaikines, visiškai pataisytas sistemas, jie išlieka veiksmingi prieš pasenusią ar apleistą infrastruktūrą.
Tarp kampanijos metu panaudotų pažeidžiamumų yra CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 ir CVE-2010-3437. Toks pasikliovimas senesniais trūkumais rodo pragmatišką strategiją: išnaudoti ilgalaikes pasenusias aplinkas, kurios dažnai lieka nepastebėtos šiuolaikinės saugumo priežiūros.
Kirminų tipo plėtra naudojant SSH automatizavimą
„SSHStalker“ integruoja automatinio nuskaitymo galimybes, kad išplėstų savo aprėptį. „Golang“ pagrindu veikiantis skaitytuvas aktyviai tikrina 22 prievadą, kad nustatytų sistemas, kurios pažeidžia SSH paslaugas. Aptikus pažeidžiamus kompiuterius, jie yra užkrečiami ir įtraukiami į IRC kanalus, taip efektyviai išplėsdamas botnetą kaip kirminas.
Užkrato metu paleidžiami keli naudingieji failai, įskaitant IRC valdomo boto ir Perl pagrindu sukurto failų boto variantus. Šie komponentai prisijungia prie „UnrealIRCd“ serverio, prisijungia prie nurodytų valdymo kanalų ir laukia nurodymų. Infrastruktūra palaiko koordinuotas „flood“ tipo srauto atakas ir centralizuotą botų valdymą.
Nepaisant šių galimybių, kampanijos metu pastebimai susilaikoma nuo įprastos po išnaudojimo vykdomos monetizacijos veiklos, tokios kaip paskirstytos paslaugų teikimo trikdymo atakos, tarpinio serverio vagystė ar kriptovaliutų kasimas. Vietoj to, pažeistos sistemos iš esmės lieka neveiklios, palaikydamos nuolatinę prieigą. Ši suvaržyta operacinė pozicija rodo galimus naudojimo atvejus, tokius kaip testavimas, prieigos išlaikymas arba būsimos koordinuotos operacijos.
Slaptumas, atkaklumas ir antiforenzika
Operacinis slaptumas yra esminis „SSHStalker“ bruožas. Kenkėjiška programa naudoja žurnalų valymo įrankius, kurie manipuliuoja utmp, wtmp ir lastlog įrašais, kad paslėptų neteisėtą SSH prieigą. Specialios C programos vykdomos siekiant pašalinti kenkėjiškos veiklos pėdsakus iš sistemos žurnalų, sumažinant teismo ekspertizės matomumą.
Siekiant užtikrinti atsparumą, įrankių rinkinyje yra mechanizmas, skirtas iš naujo paleisti pagrindinį kenkėjiškos programos procesą per 60 sekundžių, jei jis nutraukiamas. Ši išlikimo strategija sustiprina atsparumą pažeidimams.
Scenos infrastruktūros ir puolimo įrangos arsenalas
Susijusios testavimo infrastruktūros analizė atskleidė platų kenkėjiškų įrankių ir anksčiau dokumentuotos kenkėjiškos programinės įrangos saugyklą. Įrankių rinkinį sudaro:
- Šakniniai rinkiniai, skirti sustiprinti slaptumą ir išlaikyti atsparumą
- Kriptovaliutų kasėjai
- „Python“ scenarijus, vykdantis dvejetainį failą pavadinimu „website grabber“, kad surinktų pažeidžiamų „Amazon Web Services“ (AWS) prisijungimo duomenis iš pažeidžiamų svetainių.
- „EnergyMech“ – IRC robotas, leidžiantis valdyti komandas ir vykdyti komandas nuotoliniu būdu.
Šioje kolekcijoje pabrėžiama lanksti operacinė sistema, galinti prisitaikyti prie kelių atakų tikslų.
Priskyrimo užuominos ir operacijų sutapimas
IRC kanalų ir konfigūracijos žodžių sąrašų indikatoriai rodo galimą rumunišką kilmę, įskaitant rumuniško stiliaus pravardžių ir slengo buvimą. Be to, veiklos charakteristikos labai sutampa su įsilaužėlių grupės, žinomos kaip „Outlaw“ (dar vadinamos „Dota“, charakteristikomis, o tai rodo galimą priklausomybę ar bendrą prekybos veiklą.
Subrendusi orkestracija, o ne romano išnaudojimas
„SSHStalker“ nesiremia nulinės dienos pažeidžiamumais ar novatorišku rootkit'ų kūrimu. Vietoj to, kampanija demonstruoja drausmingą operacijų kontrolę ir efektyvų koordinavimą. Pagrindiniai botų ir žemo lygio komponentai daugiausia parašyti C kalba, o apvalkalo scenarijai valdo duomenų tvarumą ir automatizavimą. Python ir Perl selektyviai naudojami naudingumo funkcijoms ir palaikymo užduotims užkrėtimo grandinėje.
Ši kampanija yra struktūrizuoto, keičiamo dydžio masinio kompromiso darbo eigos pavyzdys, kuriame pabrėžiamas infrastruktūros perdirbimas, automatizavimas ir ilgalaikis išlikimas įvairiose „Linux“ aplinkose. Jos stiprybė slypi ne inovacijose, o vykdyme, koordinavime ir strateginiame nepastebėtų sistemų išnaudojime.
