網路安全研究人員披露了一個名為SSHStalker的新型殭屍網路操作詳情,該網路依賴Internet中繼聊天(IRC)通信協議進行命令和控制。
網路安全公司Flare表示:"該工具集融合了隱蔽輔助工具與傳統Linux漏洞利用技術:除了日誌清理工具(utmp/wtmp/lastlog篡改)和rootkit級別的惡意軟體外,攻擊者還保持著大量Linux 2.6.x時代的漏洞利用庫(2009-2010年CVE漏洞)。這些漏洞對現代系統價值不高,但對'被遺忘'的基礎設施和長尾傳統環境仍然有效。"
SSHStalker結合了IRC殭屍網路機制與自動化大規模入侵操作,使用SSH掃描器和其他現成掃描器將易受攻擊的系統納入網路並加入IRC頻道。
然而,與通常利用此類殭屍網路進行分布式拒絕服務(DDoS)攻擊、代理劫持或加密貨幣挖礦等機會主義活動的其他攻擊活動不同,SSHStalker被發現能夠維持持久訪問而無任何後續的攻擊後行為。
這種休眠行為使其與眾不同,表明被入侵的基礎設施可能被用於準備、測試或戰略訪問保留以備將來使用。
SSHStalker的核心組件是一個Golang掃描器,掃描埠22尋找開放SSH的伺服器,以蠕蟲式方式擴展其範圍。同時還部署了幾個有效載荷,包括IRC控制機器人的變種和一個Perl文件機器人,連接到UnrealIRCd IRC伺服器,加入控制頻道,等待允許其執行洪水式流量攻擊和控制機器人的命令。
這些攻擊的特點還包括執行C程序文件來清理SSH連接日誌,從日誌中清除惡意活動痕跡以減少取證可見性。此外,惡意軟體工具包含有"保活"組件,確保主要惡意軟體進程在被安全工具終止時能在60秒內重新啟動。
SSHStalker的顯著特點是將大規模入侵自動化與包含16個不同漏洞的目錄相結合,這些漏洞影響Linux核心,有些可以追溯到2009年。漏洞利用模塊中使用的一些缺陷包括CVE-2009-2692、CVE-2009-2698、CVE-2010-3849、CVE-2010-1173、CVE-2009-2267、CVE-2009-2908、CVE-2009-3547、CVE-2010-2959和CVE-2010-3437。
Flare對與威脅行為者相關的準備基礎設施的調查發現了大量開源攻擊工具和之前發布的惡意軟體樣本庫。這些包括:
用於促進隱蔽和持久性的Rootkit
加密貨幣挖礦程序
一個Python腳本,執行名為"網站抓取器"的二進制文件,從目標網站竊取暴露的亞馬遜網路服務(AWS)密鑰
EnergyMech,一個提供命令控制和遠程命令執行功能的IRC機器人
懷疑該活動背後的威脅行為者可能來自羅馬尼亞,因為在IRC頻道和配置詞彙表中出現了"羅馬尼亞風格的暱稱、俚語模式和命名約定"。此外,操作指紋與被稱為Outlaw(又名Dota)的黑客組織高度重疊。
Flare表示:"SSHStalker似乎不專注於新穎的漏洞開發,而是通過成熟的實施和編排展示操作控制,主要使用C語言編寫核心機器人和低級組件,使用shell進行編排和持久化,並限制使用Python和Perl主要用於攻擊鏈中的實用程序或支持自動化任務以及運行IRC機器人。"
"威脅行為者並非在開發零日漏洞或新穎的rootkit,而是在大規模入侵工作流程、基礎設施回收和跨異構Linux環境的長尾持久化方面展示了強大的操作紀律。"
Q&A
Q1:SSHStalker殭屍網路有什麼特殊之處?
A:SSHStalker結合了IRC殭屍網路機制與自動化大規模入侵操作,其特殊之處在於維持休眠狀態的持久訪問而不進行後續攻擊行為,這表明被入侵的基礎設施可能被用於未來的戰略用途。
Q2:SSHStalker使用了哪些漏洞進行攻擊?
A:SSHStalker使用了16個不同的Linux核心漏洞,主要是2009-2010年的傳統漏洞,包括CVE-2009-2692、CVE-2009-2698、CVE-2010-3849等,這些漏洞對現代系統威脅較小但對傳統環境仍然有效。
Q3:如何防護SSHStalker殭屍網路攻擊?
A:應及時更新Linux核心版本修補傳統漏洞,加強SSH伺服器安全配置,監控異常IRC通信和日誌篡改行為,部署有效的安全工具檢測和阻止惡意軟體的保活機制。
