SSHStalker Botnet
Natuklasan ng mga cybersecurity analyst ang isang operasyon ng botnet na kilala bilang SSHStalker, na gumagamit ng Internet Relay Chat (IRC) protocol para sa mga komunikasyon na Command-and-Control (C2). Sa pamamagitan ng pagsasama-sama ng tradisyonal na mekanismo ng botnet ng IRC at mga automated na pamamaraan ng mass-compromise, ang kampanyang ito ay sumasalamin sa isang kalkulado at sistematikong diskarte sa paglusot sa imprastraktura.
Hindi tulad ng mga modernong botnet na inuuna ang mabilis na monetization, binibigyang-diin ng SSHStalker ang pagtitiyaga at kontroladong pagpapalawak, na nagpapahiwatig ng isang potensyal na estratehikong layunin sa halip na agarang pinansyal na pakinabang.
Talaan ng mga Nilalaman
Istratehiya sa Pagsasamantala: Pag-target sa mga Nakalimutan at sa mga Hindi Pa Naayos
Sa kaibuturan ng SSHStalker ay nakasalalay ang sadyang pagtutok sa mga lumang sistema ng Linux. Isinasama ng toolkit ang isang koleksyon ng 16 na kahinaan sa kernel ng Linux, marami ang mula pa noong 2009 at 2010. Bagama't halos hindi epektibo laban sa mga kontemporaryo at ganap na na-patch na sistema, ang mga exploit na ito ay nananatiling mabisa laban sa mga luma o napabayaang imprastraktura.
Kabilang sa mga kapansin-pansing kahinaan na ginamit sa kampanya ang CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, at CVE-2010-3437. Ang pag-asa na ito sa mga mas lumang depekto ay nagpapakita ng isang praktikal na estratehiya: paggamit ng mga long-tail legacy na kapaligiran na kadalasang nakakatakas sa modernong pangangasiwa sa seguridad.
Pagpapalawak na Parang Uod sa Pamamagitan ng SSH Automation
Isinasama ng SSHStalker ang mga kakayahan sa awtomatikong pag-scan upang mapalawak ang saklaw nito. Aktibong sinusuri ng isang scanner na nakabase sa Golang ang port 22 upang matukoy ang mga system na naglalantad sa mga serbisyo ng SSH. Kapag natuklasan, ang mga madaling kapitan na host ay nakompromiso at ini-enroll sa mga IRC channel, na epektibong nagpapalawak ng botnet sa paraang parang bulate.
Maraming payload ang idine-deploy habang nagkakaroon ng impeksyon, kabilang ang mga variant ng isang IRC-controlled bot at isang Perl-based file bot. Ang mga component na ito ay kumokonekta sa isang UnrealIRCd server, sumasali sa mga itinalagang control channel, at naghihintay ng mga instruksyon. Sinusuportahan ng imprastraktura ang mga coordinated flood-style traffic attack at centralized bot management.
Sa kabila ng mga kakayahang ito, kapansin-pansing umiiwas ang kampanya sa pagsali sa mga karaniwang aktibidad ng monetization pagkatapos ng pagsasamantala tulad ng mga distributed denial-of-service attack, proxyjacking, o cryptocurrency mining. Sa halip, ang mga nakompromisong sistema ay nananatiling halos hindi aktibo, na nagpapanatili ng patuloy na access. Ang mahigpit na posisyong ito sa operasyon ay nagmumungkahi ng mga potensyal na kaso ng paggamit tulad ng staging, pagpapanatili ng access, o mga koordinadong operasyon sa hinaharap.
Paglilihim, Pagtitiyaga, at Anti-Forensics
Ang operational stealth ay isang natatanging katangian ng SSHStalker. Nagde-deploy ang malware ng mga log-cleaning utility na nagmamanipula sa mga utmp, wtmp, at lastlog record upang itago ang hindi awtorisadong SSH access. Ang mga custom na C program ay isinasagawa upang alisin ang mga bakas ng malisyosong aktibidad mula sa mga system log, na binabawasan ang forensic visibility.
Upang matiyak ang katatagan, ang toolkit ay may kasamang mekanismong "keep-alive" na idinisenyo upang muling ilunsad ang pangunahing proseso ng malware sa loob ng 60 segundo kung sakaling wakasan. Ang estratehiyang ito ng pagtitiyaga ay nagpapalakas ng tibay ng pundasyon sa mga nakompromisong kapaligiran.
Imprastraktura ng Pagtatanghal at Arsenal ng Pag-iingat sa mga Nakakasakit
Ang pagsusuri sa kaugnay na imprastraktura ng staging ay nagsiwalat ng malawak na imbakan ng mga nakakasakit na tool at dating naitalang malware. Kasama sa toolkit ang:
- Mga Rootkit na idinisenyo upang mapahusay ang stealth at mapanatili ang persistence
- Mga minero ng cryptocurrency
- Isang script ng Python na nagpapatupad ng binary na pinangalanang 'website grabber' upang mangolekta ng mga nakalantad na kredensyal ng Amazon Web Services (AWS) mula sa mga mahinang website
- Ang EnergyMech, isang IRC bot na nagbibigay-daan sa command-and-control at remote command execution
Itinatampok ng koleksyong ito ang isang nababaluktot na balangkas ng operasyon na may kakayahang umangkop sa maraming layunin ng pag-atake.
Mga Pahiwatig ng Pagpapatungkol at Pagsasanib ng Operasyon
Ang mga indikasyon sa loob ng mga channel ng IRC at mga listahan ng mga salita sa pagsasaayos ay nagmumungkahi ng posibleng pinagmulang Romanian, kabilang ang pagkakaroon ng mga palayaw at slang na istilo-Romanian. Bukod pa rito, ang mga katangian ng operasyon ay lubos na nagsasapawan sa mga katangian ng hacking group na kilala bilang Outlaw (tinutukoy din bilang Dota), na nagpapahiwatig ng potensyal na kaugnayan o ibinahaging kalakalan.
Orkestrasyon ng mga Matanda Higit sa Novel Exploitation
Hindi umaasa ang SSHStalker sa mga zero-day vulnerabilities o makabagong pagbuo ng rootkit. Sa halip, ipinapakita ng kampanya ang disiplinadong kontrol sa operasyon at epektibong orkestrasyon. Ang mga pangunahing bot at low-level na bahagi ay pangunahing nakasulat sa C, na may mga shell script na namamahala sa persistence at automation. Ang Python at Perl ay ginagamit nang pili para sa mga utility function at mga gawain sa suporta sa loob ng infection chain.
Ang kampanyang ito ay nagpapakita ng isang nakabalangkas at nasusukat na daloy ng trabaho para sa malawakang kompromiso na nagbibigay-diin sa pag-recycle ng imprastraktura, automation, at pangmatagalang pagtitiyaga sa magkakaibang kapaligiran ng Linux. Sa halip na inobasyon, ang kalakasan nito ay nasa pagpapatupad, koordinasyon, at estratehikong pagsasamantala sa mga sistemang hindi napapansin.
