SSHStalker ਬੋਟਨੈੱਟ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ SSHStalker ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਬੋਟਨੈੱਟ ਓਪਰੇਸ਼ਨ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰ ਲਈ ਇੰਟਰਨੈਟ ਰੀਲੇਅ ਚੈਟ (IRC) ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਰਵਾਇਤੀ IRC ਬੋਟਨੈੱਟ ਮਕੈਨਿਕਸ ਨੂੰ ਸਵੈਚਾਲਿਤ ਪੁੰਜ-ਸਮਝੌਤਾ ਤਕਨੀਕਾਂ ਨਾਲ ਜੋੜ ਕੇ, ਇਹ ਮੁਹਿੰਮ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਘੁਸਪੈਠ ਲਈ ਇੱਕ ਗਣਨਾਤਮਕ ਅਤੇ ਵਿਧੀਗਤ ਪਹੁੰਚ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਤੇਜ਼ ਮੁਦਰੀਕਰਨ ਨੂੰ ਤਰਜੀਹ ਦੇਣ ਵਾਲੇ ਆਧੁਨਿਕ ਬੋਟਨੈੱਟਾਂ ਦੇ ਉਲਟ, SSHStalker ਨਿਰੰਤਰਤਾ ਅਤੇ ਨਿਯੰਤਰਿਤ ਵਿਸਥਾਰ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦਾ ਹੈ, ਜੋ ਤੁਰੰਤ ਵਿੱਤੀ ਲਾਭ ਦੀ ਬਜਾਏ ਇੱਕ ਸੰਭਾਵੀ ਰਣਨੀਤਕ ਉਦੇਸ਼ ਦਾ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ।

ਸ਼ੋਸ਼ਣ ਰਣਨੀਤੀ: ਭੁੱਲੇ ਹੋਏ ਅਤੇ ਅਣਪਛਾਤੇ ਲੋਕਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

SSHStalker ਦੇ ਮੂਲ ਵਿੱਚ ਪੁਰਾਣੇ Linux ਸਿਸਟਮਾਂ 'ਤੇ ਜਾਣਬੁੱਝ ਕੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਟੂਲਕਿੱਟ ਵਿੱਚ 16 Linux ਕਰਨਲ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸੰਗ੍ਰਹਿ ਸ਼ਾਮਲ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਬਹੁਤ ਸਾਰੀਆਂ 2009 ਅਤੇ 2010 ਦੀਆਂ ਹਨ। ਹਾਲਾਂਕਿ ਸਮਕਾਲੀ, ਪੂਰੀ ਤਰ੍ਹਾਂ ਪੈਚ ਕੀਤੇ ਸਿਸਟਮਾਂ ਦੇ ਵਿਰੁੱਧ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਬੇਅਸਰ ਹਨ, ਪਰ ਇਹ ਕਾਰਨਾਮੇ ਪੁਰਾਣੇ ਜਾਂ ਅਣਗੌਲਿਆ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਵਿਰੁੱਧ ਵਿਵਹਾਰਕ ਰਹਿੰਦੇ ਹਨ।

ਮੁਹਿੰਮ ਵਿੱਚ ਵਰਤੀਆਂ ਗਈਆਂ ਮਹੱਤਵਪੂਰਨ ਕਮਜ਼ੋਰੀਆਂ ਵਿੱਚ CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, ਅਤੇ CVE-2010-3437 ਸ਼ਾਮਲ ਹਨ। ਪੁਰਾਣੀਆਂ ਖਾਮੀਆਂ 'ਤੇ ਇਹ ਨਿਰਭਰਤਾ ਇੱਕ ਵਿਹਾਰਕ ਰਣਨੀਤੀ ਦਰਸਾਉਂਦੀ ਹੈ: ਲੰਬੇ-ਪੂਛ ਵਾਲੇ ਵਿਰਾਸਤੀ ਵਾਤਾਵਰਣਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਜੋ ਅਕਸਰ ਆਧੁਨਿਕ ਸੁਰੱਖਿਆ ਨਿਗਰਾਨੀ ਤੋਂ ਬਚਦੇ ਹਨ।

SSH ਆਟੋਮੇਸ਼ਨ ਰਾਹੀਂ ਕੀੜੇ ਵਰਗਾ ਵਿਸਥਾਰ

SSHStalker ਆਪਣੀ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਣ ਲਈ ਆਟੋਮੇਟਿਡ ਸਕੈਨਿੰਗ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਗੋਲਾਂਗ-ਅਧਾਰਿਤ ਸਕੈਨਰ SSH ਸੇਵਾਵਾਂ ਨੂੰ ਐਕਸਪੋਜ਼ ਕਰਨ ਵਾਲੇ ਸਿਸਟਮਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਪੋਰਟ 22 ਦੀ ਸਰਗਰਮੀ ਨਾਲ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਖੋਜਣ ਤੋਂ ਬਾਅਦ, ਸੰਵੇਦਨਸ਼ੀਲ ਹੋਸਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ IRC ਚੈਨਲਾਂ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦੇ ਹਨ, ਜੋ ਕਿ ਕੀੜੇ ਵਰਗੇ ਢੰਗ ਨਾਲ ਬੋਟਨੈੱਟ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਵਧਾਉਂਦੇ ਹਨ।

ਇਨਫੈਕਸ਼ਨ ਦੌਰਾਨ ਕਈ ਪੇਲੋਡ ਤੈਨਾਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਇੱਕ IRC-ਨਿਯੰਤਰਿਤ ਬੋਟ ਦੇ ਰੂਪ ਅਤੇ ਇੱਕ ਪਰਲ-ਅਧਾਰਿਤ ਫਾਈਲ ਬੋਟ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਹਿੱਸੇ ਇੱਕ UnrealIRCd ਸਰਵਰ ਨਾਲ ਜੁੜਦੇ ਹਨ, ਮਨੋਨੀਤ ਕੰਟਰੋਲ ਚੈਨਲਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ, ਅਤੇ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦੇ ਹਨ। ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਤਾਲਮੇਲ ਵਾਲੇ ਹੜ੍ਹ-ਸ਼ੈਲੀ ਦੇ ਟ੍ਰੈਫਿਕ ਹਮਲਿਆਂ ਅਤੇ ਕੇਂਦਰੀਕ੍ਰਿਤ ਬੋਟ ਪ੍ਰਬੰਧਨ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।

ਇਹਨਾਂ ਸਮਰੱਥਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਮੁਹਿੰਮ ਖਾਸ ਤੌਰ 'ਤੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਮੁਦਰੀਕਰਨ ਗਤੀਵਿਧੀਆਂ ਜਿਵੇਂ ਕਿ ਵੰਡੇ ਗਏ ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ ਹਮਲੇ, ਪ੍ਰੌਕਸੀਜੈਕਿੰਗ, ਜਾਂ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਤੋਂ ਪਰਹੇਜ਼ ਕਰਦੀ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸੁਸਤ ਰਹਿੰਦੇ ਹਨ, ਨਿਰੰਤਰ ਪਹੁੰਚ ਨੂੰ ਬਣਾਈ ਰੱਖਦੇ ਹਨ। ਇਹ ਸੰਜਮਿਤ ਸੰਚਾਲਨ ਸਥਿਤੀ ਸੰਭਾਵੀ ਵਰਤੋਂ ਦੇ ਮਾਮਲਿਆਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ ਜਿਵੇਂ ਕਿ ਸਟੇਜਿੰਗ, ਪਹੁੰਚ ਧਾਰਨ, ਜਾਂ ਭਵਿੱਖ ਦੇ ਤਾਲਮੇਲ ਵਾਲੇ ਕਾਰਜ।

ਸਟੀਲਥ, ਦ੍ਰਿੜਤਾ, ਅਤੇ ਐਂਟੀ-ਫੋਰੈਂਸਿਕਸ

ਓਪਰੇਸ਼ਨਲ ਸਟੀਲਥ SSHStalker ਦੀ ਇੱਕ ਪਰਿਭਾਸ਼ਿਤ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਲੌਗ-ਕਲੀਨਿੰਗ ਯੂਟਿਲਿਟੀਜ਼ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ ਜੋ ਅਣਅਧਿਕਾਰਤ SSH ਪਹੁੰਚ ਨੂੰ ਛੁਪਾਉਣ ਲਈ utmp, wtmp, ਅਤੇ lastlog ਰਿਕਾਰਡਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਦੇ ਹਨ। ਕਸਟਮ C ਪ੍ਰੋਗਰਾਮ ਸਿਸਟਮ ਲੌਗ ਤੋਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਹਟਾਉਣ ਲਈ ਚਲਾਏ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਫੋਰੈਂਸਿਕ ਦ੍ਰਿਸ਼ਟੀ ਘੱਟ ਜਾਂਦੀ ਹੈ।

ਲਚਕੀਲੇਪਣ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ, ਟੂਲਕਿੱਟ ਵਿੱਚ ਇੱਕ ਕੀਪ-ਅਲਾਈਵ ਵਿਧੀ ਸ਼ਾਮਲ ਹੈ ਜੋ ਪ੍ਰਾਇਮਰੀ ਮਾਲਵੇਅਰ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਬੰਦ ਹੋਣ 'ਤੇ 60 ਸਕਿੰਟਾਂ ਦੇ ਅੰਦਰ ਦੁਬਾਰਾ ਲਾਂਚ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਸਥਿਰਤਾ ਰਣਨੀਤੀ ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਪੈਰ ਰੱਖਣ ਦੀ ਟਿਕਾਊਤਾ ਨੂੰ ਮਜ਼ਬੂਤ ਬਣਾਉਂਦੀ ਹੈ।

ਸਟੇਜਿੰਗ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਅਤੇ ਆਫੈਂਸਿਵ ਟੂਲਿੰਗ ਆਰਸੈਨਲ

ਸੰਬੰਧਿਤ ਸਟੇਜਿੰਗ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਅਪਮਾਨਜਨਕ ਟੂਲਸ ਅਤੇ ਪਹਿਲਾਂ ਦਸਤਾਵੇਜ਼ੀ ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਭੰਡਾਰ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ। ਟੂਲਕਿੱਟ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਰੂਟਕਿੱਟਸ ਜੋ ਸਟੀਲਥ ਨੂੰ ਵਧਾਉਣ ਅਤੇ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ
• ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਮਾਈਨਰ
• ਇੱਕ ਪਾਈਥਨ ਸਕ੍ਰਿਪਟ ਜੋ ਕਮਜ਼ੋਰ ਵੈੱਬਸਾਈਟਾਂ ਤੋਂ ਐਕਸਪੋਜ਼ਡ ਐਮਾਜ਼ਾਨ ਵੈੱਬ ਸਰਵਿਸਿਜ਼ (AWS) ਕ੍ਰੇਡੈਂਸ਼ਿਅਲਸ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ 'ਵੈੱਬਸਾਈਟ ਗ੍ਰੈਬਰ' ਨਾਮਕ ਇੱਕ ਬਾਈਨਰੀ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ।
• EnergyMech, ਇੱਕ IRC ਬੋਟ ਜੋ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਅਤੇ ਰਿਮੋਟ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਇਹ ਸੰਗ੍ਰਹਿ ਇੱਕ ਲਚਕਦਾਰ ਸੰਚਾਲਨ ਢਾਂਚੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ ਜੋ ਕਈ ਹਮਲੇ ਦੇ ਉਦੇਸ਼ਾਂ ਦੇ ਅਨੁਕੂਲ ਹੋਣ ਦੇ ਸਮਰੱਥ ਹੈ।

ਵਿਸ਼ੇਸ਼ਤਾ ਸੁਰਾਗ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਓਵਰਲੈਪ

IRC ਚੈਨਲਾਂ ਅਤੇ ਸੰਰਚਨਾ ਸ਼ਬਦ ਸੂਚੀਆਂ ਦੇ ਅੰਦਰ ਸੂਚਕ ਸੰਭਾਵੀ ਰੋਮਾਨੀਆਈ ਮੂਲ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਰੋਮਾਨੀਆਈ-ਸ਼ੈਲੀ ਦੇ ਉਪਨਾਮ ਅਤੇ ਸਲੈਂਗ ਦੀ ਮੌਜੂਦਗੀ ਸ਼ਾਮਲ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸੰਚਾਲਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਆਊਟਲਾਅ (ਜਿਸਨੂੰ ਡੋਟਾ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਹੈਕਿੰਗ ਸਮੂਹ ਦੇ ਨਾਲ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਓਵਰਲੈਪ ਹੁੰਦੀਆਂ ਹਨ, ਜੋ ਸੰਭਾਵੀ ਮਾਨਤਾ ਜਾਂ ਸਾਂਝੇ ਵਪਾਰ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ।

ਨਾਵਲ ਸ਼ੋਸ਼ਣ ਉੱਤੇ ਪਰਿਪੱਕ ਆਰਕੈਸਟ੍ਰੇਸ਼ਨ

SSHStalker ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀਆਂ ਜਾਂ ਕ੍ਰਾਂਤੀਕਾਰੀ ਰੂਟਕਿਟ ਵਿਕਾਸ 'ਤੇ ਨਿਰਭਰ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਇਸ ਦੀ ਬਜਾਏ, ਮੁਹਿੰਮ ਅਨੁਸ਼ਾਸਿਤ ਸੰਚਾਲਨ ਨਿਯੰਤਰਣ ਅਤੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਆਰਕੈਸਟ੍ਰੇਸ਼ਨ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੀ ਹੈ। ਕੋਰ ਬੋਟ ਅਤੇ ਹੇਠਲੇ-ਪੱਧਰ ਦੇ ਹਿੱਸੇ ਮੁੱਖ ਤੌਰ 'ਤੇ C ਵਿੱਚ ਲਿਖੇ ਗਏ ਹਨ, ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟਾਂ ਸਥਿਰਤਾ ਅਤੇ ਆਟੋਮੇਸ਼ਨ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਦੀਆਂ ਹਨ। ਪਾਈਥਨ ਅਤੇ ਪਰਲ ਨੂੰ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦੇ ਅੰਦਰ ਉਪਯੋਗਤਾ ਫੰਕਸ਼ਨਾਂ ਅਤੇ ਸਹਾਇਤਾ ਕਾਰਜਾਂ ਲਈ ਚੋਣਵੇਂ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਇਹ ਮੁਹਿੰਮ ਇੱਕ ਢਾਂਚਾਗਤ, ਸਕੇਲੇਬਲ ਪੁੰਜ-ਸਮਝੌਤਾ ਵਰਕਫਲੋ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦੀ ਹੈ ਜੋ ਵਿਭਿੰਨ ਲੀਨਕਸ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਰੀਸਾਈਕਲਿੰਗ, ਆਟੋਮੇਸ਼ਨ, ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਸਥਿਰਤਾ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੀ ਹੈ। ਨਵੀਨਤਾ ਦੀ ਬਜਾਏ, ਇਸਦੀ ਤਾਕਤ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਤਾਲਮੇਲ ਅਤੇ ਅਣਦੇਖੇ ਸਿਸਟਮਾਂ ਦੇ ਰਣਨੀਤਕ ਸ਼ੋਸ਼ਣ ਵਿੱਚ ਹੈ।