HackerNews 编译,转载请注明出处:
一款名为 SSHStalker 的新型 Linux 僵尸网络被记录在案,它使用 IRC(互联网中继聊天)通信协议进行命令与控制(C2)操作。
IRC 协议发明于 1988 年,在 20 世纪 90 年代达到普及顶峰,成为当时基于文本的群聊和私聊主流即时通信方案。技术社区至今仍认可其优势:实现简单、兼容性强、带宽需求低,且无需图形用户界面(GUI)。
SSHStalker 僵尸网络未采用现代 C2 框架,而是依赖经典 IRC 机制(如多款基于 C 语言开发的僵尸程序、多服务器 / 多频道冗余设计),优先保障弹性、规模和低成本,而非隐蔽性与技术新颖性。
威胁情报公司 Flare 的研究人员指出,该思路也体现在 SSHStalker 的其他运营特征中:例如使用易被检测的 SSH 扫描、1 分钟周期的定时任务(cron jobs),以及大量 15 年前的漏洞(CVE)利用程序。
Flare 表示:“我们实际发现的是一个‘噪音大’、拼接而成的僵尸网络工具包,融合了老式 IRC 控制、主机端编译二进制文件、大规模 SSH 攻陷、基于 cron 的持久化手段。换言之,其运营逻辑是‘规模优先’,更看重可靠性而非隐蔽性。”
SSHStalker 通过自动化 SSH 扫描和暴力破解实现初始入侵,使用一个伪装成热门开源网络发现工具 nmap 的 Go 语言二进制程序。被攻陷的主机会被用于扫描更多 SSH 目标,形成类似蠕虫的僵尸网络传播机制。
Flare 发现了一个包含近7000次僵尸程序扫描结果的文件,这些扫描均发生在一月份,且主要针对 Oracle 云基础设施中的云托管提供商。
SSHStalker 感染主机后,会下载 GCC 工具在受害设备上编译载荷,以提升可移植性和规避检测能力。首批载荷为内置硬编码 C2 服务器和频道的 C 语言 IRC bot 程序,将新受害主机接入僵尸网络的 IRC 基础设施。
接着,恶意软件会获取名为 GS 和 bootbou 的压缩包,其中包含用于编排和执行序列的僵尸程序变体。持久化通过每 60 秒执行一次的 cron 任务实现,该任务启动看门狗式更新机制,检查主 bot 进程是否运行,若被终止则重新启动。
该僵尸网络还包含针对 2009-2010 年版 Linux 内核的 16 个 CVE 漏洞利用程序。这些程序用于在前期暴力破解获得低权限用户访问权限后,进行权限提升。
盈利方面,Flare 发现该僵尸网络会窃取 AWS 密钥并进行网站扫描。同时还内置加密货币挖矿工具包,例如高性能以太坊挖矿程序 PhoenixMiner。该僵尸网络还具备分布式拒绝服务(DDoS)攻击能力,但研究人员表示暂未观测到相关攻击。事实上,SSHStalker 的 bot 程序目前仅连接 C2 后进入空闲状态,表明现阶段可能处于测试或囤积访问权限阶段。
Flare 尚未将 SSHStalker 归因于特定的威胁组织,但指出其与 Outlaw/Maxlas 僵尸网络生态系统存在相似性,并关联多项罗马尼亚相关线索。
该威胁情报公司建议在生产服务器上部署针对编译器安装和执行的监控方案,并对 IRC 风格的出站连接设置警报。来自异常路径且执行周期短的 cron 任务也是重要的危险信号。
缓解建议包括禁用 SSH 密码认证、从生产环境镜像中移除编译器、实施出口过滤以及限制从“/dev/shm”目录执行文件。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文