SSHStalker僵尸网络
网络安全分析师发现了一个名为 SSHStalker 的僵尸网络活动,该活动利用互联网中继聊天 (IRC) 协议进行命令与控制 (C2) 通信。通过将传统的 IRC 僵尸网络机制与自动化大规模入侵技术相结合,此次活动体现了攻击者精心策划、有条不紊的基础设施渗透策略。
与优先考虑快速变现的现代僵尸网络不同,SSHStalker 强调持久性和可控扩张,这表明其潜在的战略目标并非立即获得经济利益。
目录
攻击策略:瞄准被遗忘和未修补的漏洞
SSHStalker 的核心在于其对旧版 Linux 系统的专门针对。该工具包包含 16 个 Linux 内核漏洞,其中许多漏洞可以追溯到 2009 年和 2010 年。虽然这些漏洞对现代的、已完全打好补丁的系统基本无效,但对于过时或疏于维护的基础设施而言,这些漏洞仍然有效。
此次攻击活动中利用的显著漏洞包括 CVE-2009-2692、CVE-2009-2698、CVE-2010-3849、CVE-2010-1173、CVE-2009-2267、CVE-2009-2908、CVE-2009-3547、CVE-2010-2959 和 CVE-2010-3437。这种对旧漏洞的依赖体现了一种务实的策略:利用那些往往逃过现代安全监管的长期遗留环境。
通过 SSH 自动化实现蠕虫式扩张
SSHStalker 集成了自动化扫描功能,以扩大其攻击范围。这款基于 Golang 的扫描器会主动探测 22 端口,以识别暴露 SSH 服务的系统。一旦发现易受攻击的主机,就会对其进行入侵并加入 IRC 频道,从而以类似蠕虫的方式有效地扩展僵尸网络。
感染过程中会部署多种有效载荷,包括 IRC 控制的僵尸程序变种和基于 Perl 的文件僵尸程序。这些组件会连接到 UnrealIRCd 服务器,加入指定的控制频道,并等待指令。该基础设施支持协同式洪水攻击和集中式僵尸程序管理。
尽管具备这些能力,但此次攻击行动明显避免了常见的后续盈利活动,例如分布式拒绝服务攻击、代理劫持或加密货币挖矿。相反,被入侵的系统大多处于休眠状态,保持着持续的访问权限。这种克制的行动策略暗示了其潜在的应用场景,例如部署、访问权限保留或未来的协同行动。
隐蔽性、持久性和反取证
SSHStalker 的一大特点是行动隐蔽性。该恶意软件部署日志清理工具,篡改 utmp、wtmp 和 lastlog 记录,以隐藏未经授权的 SSH 访问。它还会执行自定义 C 程序,从系统日志中删除恶意活动的痕迹,从而降低取证的可见性。
为确保韧性,该工具包包含一个保持存活机制,旨在主恶意软件进程终止后 60 秒内重新启动。这种持久化策略增强了恶意软件在受感染环境中的立足点持久性。
部署基础设施和进攻工具库
对相关部署基础设施的分析揭示了一个包含大量攻击工具和先前已记录在案的恶意软件的庞大库。该工具包包括:
- 旨在增强隐蔽性和保持持久性的Rootkit
- 加密货币矿工
- 一个 Python 脚本,它会执行名为“website grabber”的二进制文件,以从存在漏洞的网站上窃取暴露的亚马逊网络服务 (AWS) 凭证。
- EnergyMech,一个支持命令控制和远程命令执行的IRC机器人
该系列作品突出展示了一种灵活的操作框架,能够适应多种攻击目标。
归因线索和操作重叠
IRC频道和配置词表中的迹象表明,该组织可能源自罗马尼亚,例如使用了罗马尼亚风格的昵称和俚语。此外,其运作特征与名为Outlaw(又名Dota)的黑客组织高度重合,表明两者之间可能存在关联或共享相同的黑客技术。
成熟的编排胜过新颖的利用
SSHStalker 并不依赖零日漏洞或突破性的 rootkit 开发。相反,该攻击活动展现了严谨的运营控制和高效的流程编排。核心机器人和底层组件主要使用 C 语言编写,并使用 shell 脚本管理持久化和自动化。Python 和 Perl 则选择性地用于感染链中的实用功能和支持任务。
此次行动展现了一种结构化、可扩展的大规模入侵工作流程,强调基础设施的循环利用、自动化以及在各种Linux环境下的长期持久性。其优势不在于创新,而在于执行力、协调性以及对被忽视系统的战略性利用。
