SSHStalker బాట్‌నెట్

సైబర్ సెక్యూరిటీ విశ్లేషకులు SSHStalker అని పిలువబడే బోట్‌నెట్ ఆపరేషన్‌ను కనుగొన్నారు, ఇది కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌ల కోసం ఇంటర్నెట్ రిలే చాట్ (IRC) ప్రోటోకాల్‌ను ప్రభావితం చేస్తుంది. సాంప్రదాయ IRC బోట్‌నెట్ మెకానిక్‌లను ఆటోమేటెడ్ మాస్-రాజీ పద్ధతులతో కలపడం ద్వారా, ఈ ప్రచారం మౌలిక సదుపాయాల చొరబాటుకు లెక్కించిన మరియు పద్దతి విధానాన్ని ప్రతిబింబిస్తుంది.

వేగవంతమైన మానిటైజేషన్‌కు ప్రాధాన్యతనిచ్చే ఆధునిక బోట్‌నెట్‌ల మాదిరిగా కాకుండా, SSHStalker నిలకడ మరియు నియంత్రిత విస్తరణను నొక్కి చెబుతుంది, ఇది తక్షణ ఆర్థిక లాభం కంటే సంభావ్య వ్యూహాత్మక లక్ష్యాన్ని సూచిస్తుంది.

దోపిడీ వ్యూహం: మరచిపోయిన మరియు అన్‌ప్యాచ్డ్‌లను లక్ష్యంగా చేసుకోవడం

SSHStalker యొక్క ప్రధాన లక్ష్యం లెగసీ Linux వ్యవస్థలపై ఉద్దేశపూర్వకంగా దృష్టి పెట్టడం. ఈ టూల్‌కిట్ 16 Linux కెర్నల్ దుర్బలత్వాల సేకరణను కలిగి ఉంది, వీటిలో చాలా వరకు 2009 మరియు 2010 నాటివి. సమకాలీన, పూర్తిగా ప్యాచ్ చేయబడిన వ్యవస్థలపై ఎక్కువగా అసమర్థంగా ఉన్నప్పటికీ, ఈ దోపిడీలు పాత లేదా నిర్లక్ష్యం చేయబడిన మౌలిక సదుపాయాలకు వ్యతిరేకంగా ఆచరణీయంగా ఉంటాయి.

ఈ ప్రచారంలో ఉపయోగించబడిన ముఖ్యమైన దుర్బలత్వాలలో CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, మరియు CVE-2010-3437 ఉన్నాయి. పాత లోపాలపై ఈ ఆధారపడటం ఒక ఆచరణాత్మక వ్యూహాన్ని ప్రదర్శిస్తుంది: తరచుగా ఆధునిక భద్రతా పర్యవేక్షణ నుండి తప్పించుకునే పొడవైన తోక గల వారసత్వ వాతావరణాలను దోపిడీ చేయడం.

SSH ఆటోమేషన్ ద్వారా వార్మ్ లాంటి విస్తరణ

SSHStalker దాని పరిధిని విస్తృతం చేయడానికి ఆటోమేటెడ్ స్కానింగ్ సామర్థ్యాలను అనుసంధానిస్తుంది. SSH సేవలను బహిర్గతం చేసే వ్యవస్థలను గుర్తించడానికి గోలాంగ్-ఆధారిత స్కానర్ పోర్ట్ 22ని చురుకుగా పరిశీలిస్తుంది. కనుగొనబడిన తర్వాత, అనుమానాస్పద హోస్ట్‌లు రాజీపడి IRC ఛానెల్‌లలో నమోదు చేయబడతాయి, బోట్‌నెట్‌ను వార్మ్ లాంటి పద్ధతిలో సమర్థవంతంగా విస్తరిస్తాయి.

ఇన్ఫెక్షన్ సమయంలో అనేక పేలోడ్‌లు అమలు చేయబడతాయి, వీటిలో IRC-నియంత్రిత బాట్ మరియు పెర్ల్-ఆధారిత ఫైల్ బాట్ యొక్క వైవిధ్యాలు ఉంటాయి. ఈ భాగాలు అన్‌రియల్‌ఐఆర్‌సిడి సర్వర్‌కు కనెక్ట్ అవుతాయి, నియమించబడిన నియంత్రణ ఛానెల్‌లలో చేరుతాయి మరియు సూచనల కోసం వేచి ఉంటాయి. మౌలిక సదుపాయాలు సమన్వయంతో కూడిన వరద-శైలి ట్రాఫిక్ దాడులు మరియు కేంద్రీకృత బాట్ నిర్వహణకు మద్దతు ఇస్తాయి.

ఈ సామర్థ్యాలు ఉన్నప్పటికీ, ఈ ప్రచారం ముఖ్యంగా పంపిణీ చేయబడిన సేవా నిరాకరణ దాడులు, ప్రాక్సీజాకింగ్ లేదా క్రిప్టోకరెన్సీ మైనింగ్ వంటి సాధారణ దోపిడీ తర్వాత డబ్బు ఆర్జన కార్యకలాపాలలో పాల్గొనకుండా ఉంటుంది. బదులుగా, రాజీపడిన వ్యవస్థలు ఎక్కువగా నిద్రాణంగా ఉంటాయి, నిరంతర యాక్సెస్‌ను కొనసాగిస్తాయి. ఈ నిరోధిత కార్యాచరణ స్థానం స్టేజింగ్, యాక్సెస్ నిలుపుదల లేదా భవిష్యత్తులో సమన్వయంతో కూడిన ఆపరేషన్‌ల వంటి సంభావ్య వినియోగ సందర్భాలను సూచిస్తుంది.

రహస్యం, పట్టుదల మరియు యాంటీ-ఫోరెన్సిక్స్

ఆపరేషనల్ స్టెల్త్ అనేది SSHStalker యొక్క నిర్వచించే లక్షణం. మాల్వేర్ అనధికార SSH యాక్సెస్‌ను దాచడానికి utmp, wtmp మరియు లాస్ట్‌లాగ్ రికార్డులను మార్చే లాగ్-క్లీనింగ్ యుటిలిటీలను అమలు చేస్తుంది. సిస్టమ్ లాగ్‌ల నుండి హానికరమైన కార్యకలాపాల జాడలను తొలగించడానికి, ఫోరెన్సిక్ దృశ్యమానతను తగ్గించడానికి కస్టమ్ C ప్రోగ్రామ్‌లు అమలు చేయబడతాయి.

స్థితిస్థాపకతను నిర్ధారించడానికి, టూల్‌కిట్‌లో ప్రాథమిక మాల్వేర్ ప్రక్రియను నిలిపివేసినట్లయితే 60 సెకన్లలోపు తిరిగి ప్రారంభించడానికి రూపొందించబడిన కీప్-యాలైవ్ మెకానిజం ఉంటుంది. ఈ నిలకడ వ్యూహం రాజీపడిన వాతావరణాలలో ఫుట్‌హోల్డ్ మన్నికను బలపరుస్తుంది.

స్టేజింగ్ ఇన్‌ఫ్రాస్ట్రక్చర్ మరియు అఫెన్సివ్ టూలింగ్ ఆర్సెనల్

సంబంధిత స్టేజింగ్ మౌలిక సదుపాయాల విశ్లేషణ ప్రమాదకర సాధనాలు మరియు గతంలో డాక్యుమెంట్ చేయబడిన మాల్వేర్ యొక్క విస్తృత రిపోజిటరీని వెల్లడించింది. టూల్‌కిట్‌లో ఇవి ఉన్నాయి:

• స్టీల్త్‌ను మెరుగుపరచడానికి మరియు నిలకడను కొనసాగించడానికి రూపొందించబడిన రూట్‌కిట్‌లు
• క్రిప్టోకరెన్సీ మైనర్లు
• దుర్బలమైన వెబ్‌సైట్‌ల నుండి అమెజాన్ వెబ్ సర్వీసెస్ (AWS) ఆధారాలను సేకరించడానికి 'వెబ్‌సైట్ గ్రాబర్' అనే బైనరీని అమలు చేసే పైథాన్ స్క్రిప్ట్.
• ఎనర్జీమెక్, కమాండ్-అండ్-కంట్రోల్ మరియు రిమోట్ కమాండ్ అమలును ప్రారంభించే IRC బాట్.

ఈ సేకరణ బహుళ దాడి లక్ష్యాలకు అనుగుణంగా ఉండే సౌకర్యవంతమైన కార్యాచరణ చట్రాన్ని హైలైట్ చేస్తుంది.

ఆపాదింపు ఆధారాలు మరియు ఆపరేషనల్ ఓవర్‌లాప్

IRC ఛానెల్స్ మరియు కాన్ఫిగరేషన్ పద జాబితాలలోని సూచికలు రొమేనియన్-శైలి మారుపేర్లు మరియు యాస ఉనికితో సహా సాధ్యమయ్యే రొమేనియన్ మూలాన్ని సూచిస్తున్నాయి. అదనంగా, కార్యాచరణ లక్షణాలు అవుట్‌లా (డోటా అని కూడా పిలుస్తారు) అని పిలువబడే హ్యాకింగ్ సమూహంతో గణనీయంగా అతివ్యాప్తి చెందుతాయి, ఇది సంభావ్య అనుబంధం లేదా భాగస్వామ్య వాణిజ్య నైపుణ్యాన్ని సూచిస్తుంది.

నవల దోపిడీపై పరిణతి చెందిన ఆర్కెస్ట్రేషన్

SSHStalker జీరో-డే దుర్బలత్వాలు లేదా సంచలనాత్మక రూట్‌కిట్ అభివృద్ధిపై ఆధారపడదు. బదులుగా, ఈ ప్రచారం క్రమశిక్షణ కలిగిన కార్యాచరణ నియంత్రణ మరియు ప్రభావవంతమైన ఆర్కెస్ట్రేషన్‌ను ప్రదర్శిస్తుంది. కోర్ బాట్ మరియు తక్కువ-స్థాయి భాగాలు ప్రధానంగా C లో వ్రాయబడ్డాయి, షెల్ స్క్రిప్ట్‌లు నిలకడ మరియు ఆటోమేషన్‌ను నిర్వహిస్తాయి. పైథాన్ మరియు పెర్ల్‌లను ఇన్ఫెక్షన్ గొలుసులోని యుటిలిటీ ఫంక్షన్‌లు మరియు మద్దతు పనుల కోసం ఎంపిక చేసి ఉపయోగిస్తారు.

ఈ ప్రచారం విభిన్న Linux పరిసరాలలో మౌలిక సదుపాయాల రీసైక్లింగ్, ఆటోమేషన్ మరియు దీర్ఘకాలిక నిలకడను నొక్కి చెప్పే నిర్మాణాత్మక, స్కేలబుల్ మాస్-రాజీ వర్క్‌ఫ్లోను ఉదాహరణగా చూపుతుంది. ఆవిష్కరణ కంటే, దాని బలం అమలు, సమన్వయం మరియు నిర్లక్ష్యం చేయబడిన వ్యవస్థల వ్యూహాత్మక దోపిడీలో ఉంది.