Popust za več licenc
Podjetje o grožnjah Botneti Botnet SSHStalker

Botnet SSHStalker

Do leta Mezo leta Botneti, Napredna trajna grožnja (APT)
Prevedi v:

Analitiki kibernetske varnosti so odkrili operacijo botneta, znanega kot SSHStalker, ki izkorišča protokol Internet Relay Chat (IRC) za komunikacijo Command-and-Control (C2). Z združevanjem tradicionalnih mehanik botneta IRC z avtomatiziranimi tehnikami množičnega vdora ta kampanja odraža premišljen in metodičen pristop k infiltraciji infrastrukture.

Za razliko od sodobnih botnetov, ki dajejo prednost hitri monetizaciji, SSHStalker poudarja vztrajnost in nadzorovano širitev, kar signalizira potencialno strateški cilj in ne takojšnjega finančnega dobička.

Strategija izkoriščanja: Ciljanje pozabljenih in nepopravljenih

V jedru SSHStalkerja leži namerna osredotočenost na starejše sisteme Linux. Komplet orodij vključuje zbirko 16 ranljivosti jedra Linuxa, od katerih mnoge segajo v leto 2009 in 2010. Čeprav so te ranljivosti večinoma neučinkovite proti sodobnim, popolnoma zakrpanim sistemom, ostajajo uporabne proti zastareli ali zanemarjeni infrastrukturi.

Med pomembnimi ranljivostmi, ki so bile uporabljene v kampanji, so CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 in CVE-2010-3437. To zanašanje na starejše ranljivosti kaže na pragmatično strategijo: izkoriščanje dolgorepih starejših okolij, ki pogosto uidejo sodobnemu varnostnemu nadzoru.

Črvna širitev z avtomatizacijo SSH

SSHStalker integrira zmožnosti avtomatiziranega skeniranja za razširitev svojega dosega. Skener, ki temelji na Golangu, aktivno preiskuje vrata 22, da bi prepoznal sisteme, ki izpostavljajo storitve SSH. Ko so ranljivi gostitelji odkriti, so ogroženi in vpisani v kanale IRC, kar učinkovito širi botnet na način, podoben črvom.

Med okužbo se namesti več koristnih vsebin, vključno z različicami bota, ki ga nadzoruje IRC, in datotečnega bota, ki temelji na Perlu. Te komponente se povežejo s strežnikom UnrealIRCd, se pridružijo določenim nadzornim kanalom in čakajo na navodila. Infrastruktura podpira usklajene prometne napade v slogu poplave in centralizirano upravljanje botov.

Kljub tem zmogljivostim se kampanja opazno vzdržuje sodelovanja v običajnih dejavnostih monetizacije po izkoriščanju, kot so porazdeljeni napadi z zavrnitvijo storitve, proxyjacking ali rudarjenje kriptovalut. Namesto tega ogroženi sistemi večinoma mirujejo in ohranjajo trajen dostop. Ta omejena operativna drža nakazuje na možne primere uporabe, kot so uprizoritev, ohranjanje dostopa ali prihodnje usklajene operacije.

Prikritost, vztrajnost in protiforenzika

Prikritost delovanja je ključna značilnost sistema SSHStalker. Zlonamerna programska oprema uporablja pripomočke za čiščenje dnevnikov, ki manipulirajo z zapisi utmp, wtmp in lastlog, da prikrijejo nepooblaščen dostop SSH. Za odstranitev sledi zlonamerne dejavnosti iz sistemskih dnevnikov se izvajajo programi C po meri, kar zmanjšuje forenzično vidljivost.

Za zagotovitev odpornosti komplet orodij vključuje mehanizem ohranjanja delovanja, ki je zasnovan tako, da v 60 sekundah ponovno zažene primarni proces zlonamerne programske opreme, če je prekinjen. Ta strategija vztrajnosti krepi vzdržljivost v ogroženih okoljih.

Pripravljalna infrastruktura in ofenzivno orodje Arsenal

Analiza povezane infrastrukture za testiranje je razkrila široko zbirko žaljivih orodij in že dokumentirane zlonamerne programske opreme. Komplet orodij vključuje:

  • Rootkiti, zasnovani za izboljšanje prikritosti in ohranjanje vztrajnosti
  • Rudarji kriptovalut
  • Python skript, ki izvaja binarno datoteko z imenom »website grabber« za pridobivanje izpostavljenih poverilnic Amazon Web Services (AWS) z ranljivih spletnih mest
  • EnergyMech, IRC bot, ki omogoča upravljanje in nadzor ter izvajanje ukazov na daljavo

Ta zbirka poudarja prilagodljiv operativni okvir, ki se lahko prilagodi več ciljem napada.

Namigi o pripisovanju in operativno prekrivanje

Kazalniki v kanalih IRC in konfiguracijskih seznamih besed kažejo na morebiten romunski izvor, vključno s prisotnostjo vzdevkov in slenga v romunskem slogu. Poleg tega se operativne značilnosti znatno prekrivajo z značilnostmi hekerske skupine, znane kot Outlaw (imenovane tudi Dota), kar kaže na morebitno povezanost ali skupno obrt.

Zrela orkestracija namesto izkoriščanja romana

SSHStalker se ne zanaša na ranljivosti nič-dana ali razvoj prelomnih rootkitov. Namesto tega kampanja prikazuje discipliniran operativni nadzor in učinkovito orkestracijo. Osrednji bot in nizkonivojske komponente so v glavnem napisani v jeziku C, medtem ko lupinski skripti upravljajo vztrajnost in avtomatizacijo. Python in Perl se selektivno uporabljata za uporabne funkcije in podporne naloge znotraj verige okužbe.

Ta kampanja ponazarja strukturiran, prilagodljiv potek dela z množičnim kompromisom, ki poudarja recikliranje infrastrukture, avtomatizacijo in dolgoročno obstojnost v različnih okoljih Linuxa. Namesto v inovacijah je njena moč v izvedbi, koordinaciji in strateškem izkoriščanju spregledanih sistemov.

V trendu

Pošiljanje sporočil po e-pošti ni dovoljeno.

Lažno predstavljanje, Neželena pošta
V današnjem okolju groženj je ključnega pomena, da ostanete pozorni, ko v mapi »Prejeto« pristanejo nepričakovana e-poštna sporočila. Kibernetski kriminalci se redno izdajajo za ponudnike storitev, da bi izkoristili zaupanje in nujnost, v upanju, da bodo prejemniki ukrepali, preden bodo razmislili. Eden takšnih primerov je e-poštna prevara »Ni vam dovoljeno pošiljati sporočil«, zavajajoča...

Najbolj gledan

Nalaganje...