导语:SSHStalker 感染主机后,会下载 GCC 编译工具,在受害设备上直接编译恶意载荷,以提升程序可移植性与规避检测能力。
安全研究员最新发现的一款 Linux 僵尸网络 SSHStalker,采用IRC(互联网中继聊天)通信协议实现命令与控制(C2)操作。
据了解,该协议于 1988 年问世,在 20 世纪 90 年代达到普及高峰,成为当时用于群组与私密通信的主流文本即时通信方案。技术社区至今仍青睐其实现简单、互操作性强、带宽占用低且无需图形界面(GUI)等特点。
SSHStalker 僵尸网络并未采用现代化命令与控制框架,而是依托经典 IRC 机制运行,例如使用多个基于 C 语言编写的木马程序、多服务器/多频道冗余设计,更注重韧性、规模化与低成本,而非隐蔽性与技术新颖性。
研究人员表示,这种思路也体现在 SSHStalker 的其他攻击行为中,例如使用特征明显的 SSH 扫描、每分钟执行一次的定时任务,以及大量距今已有 15 年历史的漏洞(CVE)。
据悉,安全研究人员实际发现的是一个特征明显、拼凑而成的僵尸网络工具包,融合了传统 IRC 控制、在主机上编译二进制程序、大规模 SSH 攻陷以及基于定时任务实现持久化等手段。简单来说,这是一套优先规模、注重可靠而非隐蔽的运营模式。
受感染主机 IRC 频道
SSHStalker 通过自动化 SSH 扫描与暴力破解实现初始入侵,其使用的 Go 语言二进制程序会伪装成知名开源网络探测工具 Nmap。
被攻陷的主机随后会被用于扫描更多 SSH 目标,形成类似蠕虫的传播扩散机制。
研究人员发现了一份包含近 7000 条僵尸网络扫描结果的文件,均来自今年 1 月,攻击目标主要集中在Oracle Cloud等云服务商。
SSHStalker 感染主机后,会下载 GCC 编译工具,在受害设备上直接编译恶意载荷,以提升程序可移植性与规避检测能力。
首批载荷为基于 C 语言的 IRC 木马,内置硬编码的控制服务器与频道信息,将新受害主机纳入僵尸网络的 IRC 控制体系。
随后,该恶意软件会下载名为 GS 和 bootbou 的压缩包,其中包含用于统一调度与按序执行的不同木马变体。
持久化机制通过每 60 秒运行一次的定时任务实现,该任务采用看门狗式更新逻辑,检查主木马进程是否运行,若被终止则重新启动。
该僵尸网络还集成了针对 2009—2010 年版本 Linux 内核的 16 个漏洞利用程序,在暴力破解获得低权限用户访问权限后,用于实现权限提升。
攻击链概述
在牟利方式上,该僵尸网络会窃取 AWS 密钥、扫描网站,并集成了挖矿程序,包括高性能以太坊挖矿工具 PhoenixMiner。
僵尸网络同样具备分布式拒绝服务(DDoS)攻击能力,但研究人员表示暂未观测到相关攻击行为。事实上,SSHStalker 木马目前仅连接控制服务器后便进入闲置状态,表明其仍处于测试或囤积访问权限阶段。
研究人员尚未将 SSHStalker 归属到特定攻击组织,但发现其与 Outlaw/Maxlas 僵尸网络体系存在相似之处,并出现多项与罗马尼亚相关的特征线索。
威胁情报机构建议,在生产服务器上应部署针对编译器安装与执行行为的监控方案,并对 IRC 类型的出站连接设置告警。来自异常路径、执行周期极短的定时任务,也是高度危险的预警信号。
安全研究人员提出了一些防御建议,例如关闭 SSH 密码认证、从生产环境镜像中移除编译器、强制实施出站流量过滤,以及限制从 /dev/shm目录执行程序等举措。
文章来源自:https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/如若转载,请注明原文地址
