SSHStalker殭屍網絡
網路安全分析師發現了一個名為 SSHStalker 的殭屍網路活動,該活動利用互聯網中繼聊天 (IRC) 協定進行命令與控制 (C2) 通訊。透過將傳統的 IRC 殭屍網路機制與自動化大規模入侵技術相結合,此次活動體現了攻擊者精心策劃、有條不紊的基礎設施滲透策略。
與優先考慮快速變現的現代殭屍網路不同,SSHStalker 強調持久性和可控擴張,這表明其潛在的戰略目標並非立即獲得經濟利益。
目錄
攻擊策略:瞄準被遺忘和未修補的漏洞
SSHStalker 的核心在於其對舊版 Linux 系統的專門針對。該工具包包含 16 個 Linux 核心漏洞,其中許多漏洞可以追溯到 2009 年和 2010 年。雖然這些漏洞對現代的、已完全打好補丁的系統基本上無效,但對於過時或疏於維護的基礎設施而言,這些漏洞仍然有效。
此次攻擊活動中所利用的顯著漏洞包括 CVE-2009-2692、CVE-2009-2698、CVE-2010-3849、CVE-2010-1173、CVE-2009-2267、CVE-2009-1173、CVE-2009-2267、CVE-2009-1173、CVE-2009-2267、CVE-2009-2908、CVE-2009-2267、CVE-2009-2908、CVE-2909 CVE-2010-3437。這種對舊漏洞的依賴體現了一種務實的策略:利用那些往往逃過現代安全監管的長期遺留環境。
透過 SSH 自動化實現蠕蟲式擴張
SSHStalker 整合了自動化掃描功能,以擴大其攻擊範圍。這款基於 Golang 的掃描器會主動探測 22 端口,以識別暴露 SSH 服務的系統。一旦發現易受攻擊的主機,就會對其進行入侵並加入 IRC 頻道,從而以類似蠕蟲的方式有效地擴展殭屍網路。
感染過程中會部署多種有效載荷,包括 IRC 控制的殭屍程式變種和基於 Perl 的檔案殭屍程式。這些元件會連接到 UnrealIRCd 伺服器,加入指定的控制頻道,並等待指令。此基礎設施支援協同式洪水攻擊和集中式殭屍程式管理。
儘管具備這些能力,但此次攻擊行動明顯避免了常見的後續獲利活動,例如分散式阻斷服務攻擊、代理劫持或加密貨幣挖礦。相反,被入侵的系統大多處於休眠狀態,保持持續的存取權限。這種克制的行動策略暗示了其潛在的應用場景,例如部署、存取權限保留或未來的協同行動。
隱蔽性、持久性和反取證
SSHStalker 的一大特點是行動隱蔽。該惡意軟體部署日誌清理工具,篡改 utmp、wtmp 和 lastlog 記錄,以隱藏未經授權的 SSH 存取。它還會執行自訂 C 程序,從系統日誌中刪除惡意活動的痕跡,從而降低取證的可見性。
為確保韌性,該工具包包含一個保持存活機制,旨在在主惡意軟體進程終止後 60 秒內重新啟動。這種持久化策略增強了惡意軟體在受感染環境中的立足點持久性。
部署基礎設施和進攻工具庫
對相關部署基礎設施的分析揭示了一個包含大量攻擊工具和先前已記錄在案的惡意軟體的龐大庫。該工具包包括:
- 旨在增強隱蔽性和保持持久性的Rootkit
- 加密貨幣礦工
- 一個 Python 腳本,它會執行名為「website grabber」的二進位文件,以從存在漏洞的網站上竊取暴露的亞馬遜網路服務 (AWS) 憑證。
- EnergyMech,一個支援命令控制和遠端命令執行的IRC機器人
該系列作品突顯了一種靈活的操作框架,能夠適應多種攻擊目標。
歸因線索和操作重疊
IRC頻道和配置詞表中的跡象表明,該組織可能源自羅馬尼亞,例如使用了羅馬尼亞風格的暱稱和俚語。此外,其運作特徵與名為Outlaw(又稱Dota)的駭客組織高度重合,顯示兩者之間可能存在關聯或共享相同的駭客技術。
成熟的編排勝過新穎的利用
SSHStalker 並不依賴零日漏洞或突破性的 rootkit 開發。相反,該攻擊活動展現了嚴謹的營運控制和高效的流程編排。核心機器人和底層元件主要使用 C 語言編寫,並使用 shell 腳本管理持久化和自動化。 Python 和 Perl 則選擇性地用於感染鏈中的實用功能和支援任務。
這項行動展現了一種結構化、可擴展的大規模入侵工作流程,強調基礎設施的循環利用、自動化以及在各種Linux環境下的長期持久性。其優勢不在於創新,而在於執行力、協調性以及對被忽視系統的策略性利用。
