Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Botnetler SSHStalker Botnet

SSHStalker Botnet

Mezo'de Botnetler, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Siber güvenlik analistleri, komuta ve kontrol (C2) iletişimi için İnternet Röle Sohbeti (IRC) protokolünü kullanan SSHStalker adlı bir botnet operasyonunu ortaya çıkardı. Geleneksel IRC botnet mekaniklerini otomatikleştirilmiş toplu saldırı teknikleriyle birleştiren bu kampanya, altyapıya sızmaya yönelik hesaplı ve metodik bir yaklaşımı yansıtıyor.

Hızlı para kazanmayı önceliklendiren modern botnet'lerin aksine, SSHStalker kalıcılığı ve kontrollü genişlemeyi vurgulayarak, anlık finansal kazançtan ziyade potansiyel olarak stratejik bir hedefi işaret ediyor.

İstismar Stratejisi: Unutulmuş ve Yamalanmamış Olanları Hedeflemek

SSHStalker'ın özünde, eski Linux sistemlerine yönelik bilinçli bir odaklanma yatmaktadır. Araç seti, çoğu 2009 ve 2010 yıllarına dayanan 16 Linux çekirdeği güvenlik açığını içermektedir. Günümüzün tamamen yamalanmış sistemlerine karşı büyük ölçüde etkisiz olsa da, bu güvenlik açıkları eski veya ihmal edilmiş altyapılara karşı hala geçerliliğini korumaktadır.

Kampanyada kullanılan önemli güvenlik açıkları arasında CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 ve CVE-2010-3437 yer almaktadır. Eski güvenlik açıklarına bu şekilde güvenilmesi, pragmatik bir stratejiyi göstermektedir: modern güvenlik denetiminden sıklıkla kaçan eski sistemlerin istismar edilmesi.

SSH Otomasyonu Aracılığıyla Solucan Benzeri Yayılma

SSHStalker, erişim alanını genişletmek için otomatik tarama yeteneklerini entegre eder. Golang tabanlı bir tarayıcı, SSH hizmetlerini açığa çıkaran sistemleri belirlemek için 22 numaralı bağlantı noktasını aktif olarak tarar. Tespit edildikten sonra, savunmasız ana bilgisayarlar ele geçirilir ve IRC kanallarına dahil edilerek, solucan benzeri bir şekilde botnet'in genişlemesi sağlanır.

Bulaşma sırasında, IRC kontrollü bir botun ve Perl tabanlı bir dosya botunun varyantları da dahil olmak üzere çeşitli zararlı yazılımlar devreye sokulur. Bu bileşenler bir UnrealIRCd sunucusuna bağlanır, belirlenmiş kontrol kanallarına katılır ve talimatları bekler. Altyapı, koordineli yoğun trafik saldırılarını ve merkezi bot yönetimini destekler.

Bu yeteneklere rağmen, kampanya özellikle dağıtılmış hizmet reddi saldırıları, proxyjacking veya kripto para madenciliği gibi yaygın sömürü sonrası para kazanma faaliyetlerine girişmekten kaçınıyor. Bunun yerine, ele geçirilen sistemler büyük ölçüde pasif kalıyor ve sürekli erişim sağlanıyor. Bu kısıtlı operasyonel yaklaşım, hazırlık aşaması, erişimin korunması veya gelecekteki koordineli operasyonlar gibi potansiyel kullanım durumlarını akla getiriyor.

Gizlilik, Kalıcılık ve Adli Bilişim Karşıtı

SSHStalker'ın en belirleyici özelliği operasyonel gizliliğidir. Bu kötü amaçlı yazılım, yetkisiz SSH erişimini gizlemek için utmp, wtmp ve lastlog kayıtlarını manipüle eden günlük temizleme yardımcı programları kullanır. Kötü amaçlı faaliyet izlerini sistem günlüklerinden kaldırmak ve adli inceleme açısından görünürlüğü azaltmak için özel C programları yürütülür.

Dayanıklılığı sağlamak için, araç seti, sonlandırılması durumunda birincil kötü amaçlı yazılım sürecini 60 saniye içinde yeniden başlatmak üzere tasarlanmış bir "canlı tutma" mekanizması içerir. Bu kalıcılık stratejisi, tehlikeye atılmış ortamlarda tutunma dayanıklılığını güçlendirir.

Hazırlık Altyapısı ve Saldırı Araçları Cephaneliği

İlgili hazırlık altyapısının analizi, geniş bir saldırı araçları deposunu ve daha önce belgelenmiş kötü amaçlı yazılımları ortaya çıkardı. Araç seti şunları içerir:

  • Gizliliği artırmak ve kalıcılığı sağlamak için tasarlanmış rootkit'ler.
  • Kripto para madencileri
  • Güvenlik açığı bulunan web sitelerinden Amazon Web Services (AWS) kimlik bilgilerini toplamak için 'website grabber' adlı bir ikili dosyayı çalıştıran bir Python betiği.
  • EnergyMech, komuta ve kontrolü ve uzaktan komut yürütmeyi sağlayan bir IRC botudur.

Bu derleme, birden fazla saldırı hedefine uyum sağlayabilen esnek bir operasyonel çerçeveyi vurgulamaktadır.

Atıf İpuçları ve Operasyonel Örtüşme

IRC kanallarındaki ve yapılandırma kelime listelerindeki göstergeler, Romence tarzı takma adların ve argo kelimelerin varlığı da dahil olmak üzere olası bir Romen kökenine işaret etmektedir. Ek olarak, operasyonel özellikler, Outlaw (Dota olarak da anılır) olarak bilinen hacker grubuyla önemli ölçüde örtüşmekte olup, potansiyel bir bağlantı veya ortak bir stratejiye işaret etmektedir.

Olgun Orkestrasyon, Yenilikçi Sömürüye Karşı

SSHStalker, sıfır gün güvenlik açıklarına veya çığır açan rootkit geliştirmelerine dayanmaz. Bunun yerine, kampanya disiplinli operasyonel kontrol ve etkili orkestrasyon sergiler. Çekirdek bot ve düşük seviyeli bileşenler öncelikle C dilinde yazılırken, kalıcılık ve otomasyon shell komut dosyalarıyla yönetilir. Python ve Perl, enfeksiyon zinciri içindeki yardımcı işlevler ve destek görevleri için seçici olarak kullanılır.

Bu kampanya, altyapı geri dönüşümünü, otomasyonu ve çeşitli Linux ortamlarında uzun vadeli kalıcılığı vurgulayan, yapılandırılmış, ölçeklenebilir bir kitle uzlaşması iş akışına örnek teşkil etmektedir. Gücü, yenilikten ziyade, uygulama, koordinasyon ve gözden kaçan sistemlerin stratejik olarak kullanılmasında yatmaktadır.

trend

Mesaj Göndermenize İzin Verilmiyor - E-posta...

Kimlik avı, İstenmeyen e-posta
Günümüzün tehdit ortamında, beklenmedik e-postalar gelen kutusuna düştüğünde tetikte olmak çok önemlidir. Siber suçlular, alıcıların düşünmeden hareket etmesini umarak, güven ve aciliyet duygusundan yararlanmak için rutin olarak hizmet sağlayıcıları taklit ederler. Bunun bir örneği, herhangi bir meşru şirket, kuruluş veya varlıkla bağlantısı olmayan aldatıcı bir kampanya olan "Mesaj...

En çok görüntülenen

Yükleniyor...