SSHStalker botnets
Kiberdrošības analītiķi ir atklājuši botneta operāciju ar nosaukumu SSHStalker, kas izmanto interneta retranslācijas tērzēšanas (IRC) protokolu komandu un kontroles (C2) saziņai. Apvienojot tradicionālo IRC botneta mehāniku ar automatizētām masveida kompromitēšanas metodēm, šī kampaņa atspoguļo aprēķinātu un metodisku pieeju infrastruktūras iefiltrēšanai.
Atšķirībā no mūsdienu botnetiem, kas prioritāti piešķir ātrai monetizācijai, SSHStalker uzsver noturību un kontrolētu paplašināšanos, signalizējot par potenciāli stratēģisku mērķi, nevis tūlītēju finansiālu ieguvumu.
Satura rādītājs
Ekspluatācijas stratēģija: mērķtiecīga pieeja aizmirstajiem un neaizlāpotajiem
SSHStalker pamatā ir apzināta koncentrēšanās uz novecojušām Linux sistēmām. Rīkkopa ietver 16 Linux kodola ievainojamību kolekciju, no kurām daudzas datētas ar 2009. un 2010. gadu. Lai gan lielākoties neefektīvas pret mūsdienu, pilnībā ielāpotām sistēmām, šīs ievainojamības joprojām ir dzīvotspējīgas pret novecojušu vai atstātu novārtā infrastruktūru.
Kampaņā izmantoto ievērojamo ievainojamību vidū ir CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 un CVE-2010-3437. Šī paļaušanās uz vecākiem trūkumiem demonstrē pragmatisku stratēģiju: izmantot ilgtermiņa mantotas vides, kas bieži vien izvairās no mūsdienu drošības uzraudzības.
Tārpiem līdzīga paplašināšanās, izmantojot SSH automatizāciju
SSHStalker integrē automatizētas skenēšanas iespējas, lai paplašinātu savu darbības jomu. Uz Golang bāzes veidots skeneris aktīvi pārbauda 22. portu, lai identificētu sistēmas, kas apdraud SSH pakalpojumus. Kad tie ir atklāti, neaizsargāti resursdatori tiek apdraudēti un reģistrēti IRC kanālos, efektīvi paplašinot botnetu tārpu veidā.
Infekcijas laikā tiek izvietotas vairākas vērtuma slodzes, tostarp IRC kontrolēta bota un Perl bāzes failu bota varianti. Šie komponenti izveido savienojumu ar UnrealIRCd serveri, pievienojas norādītajiem vadības kanāliem un gaida norādījumus. Infrastruktūra atbalsta koordinētus flood stila datplūsmas uzbrukumus un centralizētu botu pārvaldību.
Neskatoties uz šīm iespējām, kampaņa ievērojami atturas no iesaistīšanās izplatītās pēcekspluatācijas monetizācijas aktivitātēs, piemēram, izkliedētos pakalpojuma atteikuma uzbrukumos, starpniekservera zādzībās vai kriptovalūtas ieguvē. Tā vietā kompromitētās sistēmas lielākoties paliek neaktīvas, saglabājot pastāvīgu piekļuvi. Šī ierobežotā darbības poza liecina par potenciāliem lietošanas gadījumiem, piemēram, iestudējumu izveidi, piekļuves saglabāšanu vai turpmākām koordinētām darbībām.
Slepenība, neatlaidība un pretkriminālistika
Operacionāla slepenība ir viena no SSHStalker raksturīgajām iezīmēm. Ļaunprogrammatūra izmanto žurnālu tīrīšanas utilītas, kas manipulē ar utmp, wtmp un lastlog ierakstiem, lai slēptu neatļautu SSH piekļuvi. Pielāgotas C programmas tiek izpildītas, lai noņemtu ļaunprātīgas darbības pēdas no sistēmas žurnāliem, samazinot forensisko redzamību.
Lai nodrošinātu noturību, rīkkopa ietver uzturēšanas mehānismu, kas paredzēts galvenā ļaunprogrammatūras procesa atkārtotai palaišanai 60 sekunžu laikā, ja tas tiek pārtraukts. Šī saglabāšanas stratēģija stiprina noturību apdraudētās vidēs.
Iestādes infrastruktūra un uzbrukuma aprīkojuma arsenāls
Saistītās izmēģinājuma infrastruktūras analīze ir atklājusi plašu uzbrukuma rīku un iepriekš dokumentētas ļaunprogrammatūras krātuvi. Rīkkupē ietilpst:
- Sakņkopas, kas paredzētas, lai uzlabotu slepenību un saglabātu noturību
- Kriptovalūtu ieguvēji
- Python skripts, kas izpilda bināro failu ar nosaukumu “website grabber”, lai no neaizsargātām tīmekļa vietnēm iegūtu atklātus Amazon Web Services (AWS) akreditācijas datus.
- EnergyMech, IRC robotprogrammatūra, kas nodrošina komandu vadību un attālinātu komandu izpildi
Šajā kolekcijā ir izcelta elastīga operacionālā sistēma, kas spēj pielāgoties vairākiem uzbrukuma mērķiem.
Atribūcijas norādes un darbības pārklāšanās
IRC kanālu un konfigurācijas vārdu sarakstu indikatori liecina par iespējamu rumāņu izcelsmi, tostarp rumāņu stila iesauku un slenga klātbūtni. Turklāt darbības raksturlielumi ievērojami pārklājas ar hakeru grupas Outlaw (sauktas arī par Dota) raksturlielumiem, norādot uz iespējamu piederību vai kopīgu tirdzniecības darbību.
Nobriedusi orķestrēšana, nevis romānu izmantošana
SSHStalker nepaļaujas uz nulles dienas ievainojamībām vai revolucionāru rootkit izstrādi. Tā vietā kampaņa demonstrē disciplinētu operatīvo kontroli un efektīvu orķestrēšanu. Galvenie boti un zema līmeņa komponenti galvenokārt ir rakstīti C valodā, un čaulas skripti pārvalda noturību un automatizāciju. Python un Perl tiek selektīvi izmantoti utilītu funkcijām un atbalsta uzdevumiem inficēšanas ķēdē.
Šī kampaņa ir strukturētas, mērogojamas masveida kompromisu darbplūsmas piemērs, kas uzsver infrastruktūras pārstrādi, automatizāciju un ilgtermiņa noturību dažādās Linux vidēs. Tās spēks slēpjas nevis inovācijā, bet gan izpildē, koordinācijā un aizmirstu sistēmu stratēģiskā izmantošanā.
