บอทเน็ต SSHStalker
นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปฏิบัติการบอทเน็ตที่รู้จักกันในชื่อ SSHStalker ซึ่งใช้โปรโตคอล Internet Relay Chat (IRC) สำหรับการสื่อสารแบบสั่งการและควบคุม (C2) โดยการผสมผสานกลไกบอทเน็ต IRC แบบดั้งเดิมเข้ากับเทคนิคการโจมตีระบบจำนวนมากแบบอัตโนมัติ แคมเปญนี้สะท้อนให้เห็นถึงวิธีการที่วางแผนและเป็นระบบในการแทรกซึมโครงสร้างพื้นฐาน
แตกต่างจากบอทเน็ตสมัยใหม่ที่ให้ความสำคัญกับการสร้างรายได้อย่างรวดเร็ว SSHStalker เน้นความต่อเนื่องและการขยายตัวอย่างเป็นระบบ ซึ่งบ่งชี้ถึงเป้าหมายเชิงกลยุทธ์มากกว่าผลกำไรทางการเงินในทันที
สารบัญ
กลยุทธ์การโจมตี: มุ่งเป้าไปที่ผู้ที่ถูกลืมและผู้ที่ยังไม่ได้รับการแก้ไข
หัวใจหลักของ SSHStalker คือการมุ่งเน้นไปที่ระบบ Linux รุ่นเก่าโดยเฉพาะ ชุดเครื่องมือนี้รวบรวมช่องโหว่ของเคอร์เนล Linux จำนวน 16 รายการ ซึ่งหลายรายการเกิดขึ้นตั้งแต่ปี 2009 และ 2010 แม้ว่าช่องโหว่เหล่านี้ส่วนใหญ่จะใช้ไม่ได้ผลกับระบบที่อัปเดตแพทช์อย่างสมบูรณ์แล้ว แต่ก็ยังคงใช้ได้ผลกับโครงสร้างพื้นฐานที่ล้าสมัยหรือถูกละเลย
ช่องโหว่ที่สำคัญที่ถูกนำมาใช้ในแคมเปญนี้ ได้แก่ CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 และ CVE-2010-3437 การพึ่งพาช่องโหว่เก่าๆ เหล่านี้แสดงให้เห็นถึงกลยุทธ์ที่เน้นผลลัพธ์: การใช้ประโยชน์จากสภาพแวดล้อมเก่าๆ ที่มักหลุดรอดจากการตรวจสอบด้านความปลอดภัยในปัจจุบัน
การขยายตัวแบบหนอนผ่านระบบอัตโนมัติ SSH
SSHStalker ผสานรวมความสามารถในการสแกนอัตโนมัติเพื่อขยายขอบเขตการทำงาน สแกนเนอร์ที่เขียนด้วยภาษา Golang จะตรวจสอบพอร์ต 22 อย่างต่อเนื่องเพื่อระบุระบบที่ให้บริการ SSH เมื่อพบแล้ว โฮสต์ที่อ่อนแอจะถูกโจมตีและลงทะเบียนในช่อง IRC ซึ่งเป็นการขยายบอทเน็ตในลักษณะคล้ายเวิร์ม
ในระหว่างการติดเชื้อ มีการปล่อยเพย์โหลดหลายตัว รวมถึงบอทที่ควบคุมผ่าน IRC และบอทไฟล์ที่ใช้ภาษา Perl ส่วนประกอบเหล่านี้เชื่อมต่อกับเซิร์ฟเวอร์ UnrealIRCd เข้าร่วมช่องควบคุมที่กำหนด และรอคำสั่ง โครงสร้างพื้นฐานนี้รองรับการโจมตีแบบกระจายปริมาณข้อมูลอย่างเป็นระบบ และการจัดการบอทแบบรวมศูนย์
ถึงแม้จะมีศักยภาพเหล่านี้ แต่แคมเปญนี้กลับงดเว้นจากการดำเนินกิจกรรมสร้างรายได้หลังการเจาะระบบทั่วไป เช่น การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS), การโจรกรรมพร็อกซี หรือการขุดคริปโตเคอร์เรนซี แทนที่จะเป็นเช่นนั้น ระบบที่ถูกเจาะจะยังคงอยู่ในสถานะหยุดนิ่งเป็นส่วนใหญ่ โดยยังคงสามารถเข้าถึงได้อย่างต่อเนื่อง ท่าทีการปฏิบัติงานที่จำกัดนี้ชี้ให้เห็นถึงกรณีการใช้งานที่เป็นไปได้ เช่น การทดสอบระบบ การรักษาการเข้าถึง หรือปฏิบัติการที่ประสานงานกันในอนาคต
การล่องหน ความคงทน และการต่อต้านการตรวจสอบทางนิติวิทยาศาสตร์
การซ่อนตัวขณะปฏิบัติการเป็นคุณลักษณะเด่นของ SSHStalker มัลแวร์นี้ใช้ยูทิลิตี้ล้างบันทึกที่แก้ไขบันทึก utmp, wtmp และ lastlog เพื่อปกปิดการเข้าถึง SSH ที่ไม่ได้รับอนุญาต โปรแกรม C ที่กำหนดเองจะถูกเรียกใช้เพื่อลบร่องรอยกิจกรรมที่เป็นอันตรายออกจากบันทึกระบบ ลดความสามารถในการตรวจสอบทางนิติวิทยาศาสตร์
เพื่อให้มั่นใจถึงความยืดหยุ่น ชุดเครื่องมือนี้จึงมีกลไกการรักษาการทำงานต่อเนื่อง ซึ่งออกแบบมาเพื่อเริ่มกระบวนการมัลแวร์หลักใหม่ภายใน 60 วินาที หากถูกยุติลง กลยุทธ์การรักษาการทำงานต่อเนื่องนี้ช่วยเสริมความแข็งแกร่งให้กับฐานที่มั่นในสภาพแวดล้อมที่ถูกบุกรุก
โครงสร้างพื้นฐานสำหรับการจัดฉากและคลังอาวุธโจมตี
จากการวิเคราะห์โครงสร้างพื้นฐานการทดสอบที่เกี่ยวข้อง พบว่ามีคลังเครื่องมือโจมตีและมัลแวร์ที่เคยมีการบันทึกไว้ก่อนหน้านี้จำนวนมาก ชุดเครื่องมือดังกล่าวประกอบด้วย:
- รูทคิตที่ออกแบบมาเพื่อเพิ่มประสิทธิภาพในการซ่อนตัวและรักษาการคงอยู่ของมัลแวร์
- นักขุดคริปโตเคอร์เรนซี
- สคริปต์ Python ที่เรียกใช้ไฟล์ไบนารีชื่อ 'website grabber' เพื่อเก็บรวบรวมข้อมูลประจำตัวของ Amazon Web Services (AWS) ที่รั่วไหลจากเว็บไซต์ที่มีช่องโหว่
- EnergyMech คือบอท IRC ที่ช่วยให้สามารถควบคุมและสั่งการจากระยะไกลได้
เอกสารชุดนี้เน้นกรอบการทำงานเชิงปฏิบัติการที่ยืดหยุ่นซึ่งสามารถปรับตัวให้เข้ากับวัตถุประสงค์การโจมตีที่หลากหลายได้
เบาะแสการระบุแหล่งที่มาและการทับซ้อนในการดำเนินงาน
หลักฐานภายในช่อง IRC และรายการคำศัพท์ในการตั้งค่าชี้ให้เห็นถึงความเป็นไปได้ที่จะมีต้นกำเนิดจากประเทศโรมาเนีย รวมถึงการปรากฏของชื่อเล่นและคำแสลงสไตล์โรมาเนีย นอกจากนี้ ลักษณะการดำเนินงานยังมีความทับซ้อนอย่างมากกับกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ Outlaw (หรือที่รู้จักกันในชื่อ Dota) ซึ่งบ่งชี้ถึงความเป็นไปได้ในการเป็นพันธมิตรหรือเทคนิคการทำงานร่วมกัน
การเรียบเรียงดนตรีที่ลงตัวเหนือการแสวงหาประโยชน์รูปแบบใหม่
SSHStalker ไม่ได้อาศัยช่องโหว่ Zero-day หรือการพัฒนา Rootkit ที่ล้ำสมัย แต่แคมเปญนี้แสดงให้เห็นถึงการควบคุมการปฏิบัติงานอย่างมีระเบียบวินัยและการจัดการอย่างมีประสิทธิภาพ บอทหลักและส่วนประกอบระดับต่ำส่วนใหญ่เขียนด้วยภาษา C โดยใช้สคริปต์ Shell ในการจัดการการคงอยู่และการทำงานอัตโนมัติ ส่วน Python และ Perl ถูกนำมาใช้เฉพาะในฟังก์ชันยูทิลิตี้และงานสนับสนุนภายในห่วงโซ่การติดเชื้อ
แคมเปญนี้เป็นตัวอย่างของเวิร์กโฟลว์การประนีประนอมขนาดใหญ่ที่มีโครงสร้างและปรับขนาดได้ ซึ่งเน้นการนำโครงสร้างพื้นฐานกลับมาใช้ใหม่ การทำงานอัตโนมัติ และความคงทนในระยะยาวในสภาพแวดล้อม Linux ที่หลากหลาย จุดแข็งของแคมเปญนี้ไม่ได้อยู่ที่นวัตกรรม แต่อยู่ที่การดำเนินการ การประสานงาน และการใช้ประโยชน์เชิงกลยุทธ์จากระบบที่ถูกมองข้าม
