Linux botnet SSHStalker koristi stari IRC za kontrolu zaraženih servera
Novootkriveni Linux botnet SSHStalker širi se putem SSH brute-force napada, a za kontrolu i upravljanje koristi zastarjelu, ali učinkovitu IRC tehnologiju, ciljajući prvenstveno cloud infrastrukturu
SSHStalker, nedavno otkriveni Linux botnet, oslanja se na klasični IRC (Internet Relay Chat) protokol za upravljanje svojim operacijama. Stvoren davne 1988. godine, IRC je nekada bio dominantan sustav za razmjenu poruka u tehničkim zajednicama zbog svoje jednostavnosti, niske potrošnje propusnosti i kompatibilnosti s različitim platformama. Za razliku od modernih okvira za zapovijedanje i kontrolu, SSHStalker koristi više botova, redundantne kanale i servere kako bi održao kontrolu nad zaraženim uređajima uz niske operativne troškove.
Struktura botneta i infrastruktura za upravljanje
Malware SSHStalkera ostvaruje početni pristup putem automatiziranog SSH skeniranja i brute-force napada, a zatim koristi binarnu datoteku temeljenu na programskom jeziku Go, prerušenu u mrežni alat otvorenog koda nmap, kako bi se infiltrirao na servere. Istraživači iz sigurnosne tvrtke Flare dokumentirali su gotovo sedam tisuća rezultata skeniranja botova u samo jednom mjesecu, ciljajući uglavnom cloud infrastrukturu, uključujući Oracle Cloud okruženja. Jednom kada je host kompromitiran, postaje dio mehanizma za širenje botneta, skenirajući druge servere na način sličan crvu.
Nakon infekcije, SSHStalker preuzima GCC kompajler kako bi izgradio izvršne datoteke izravno na kompromitiranom sustavu, što osigurava da se njegovi IRC botovi temeljeni na jeziku C mogu pouzdano pokretati na različitim Linux distribucijama. Ovi botovi sadrže fiksno upisane servere i kanale koji prijavljuju host u botnet kontroliran putem IRC-a. Postojanost na svakom hostu održava se putem cron poslova postavljenih da se izvršavaju svake minute. Oni nadziru glavni proces bota i ponovno ga pokreću ako se prekine, stvarajući tako stalnu povratnu petlju. Botnet također iskorištava propuste za šesnaest starih CVE-ova Linux kernela koji datiraju od 2009. do 2010. godine, koristeći ih za eskalaciju privilegija nakon što je kompromitiran korisnički račun s niskim ovlastima.
Osim osnovne kontrole, SSHStalker ima ugrađene mehanizme monetizacije. Malware prikuplja AWS ključeve, obavlja skeniranje web stranica i uključuje mogućnosti rudarenja kriptovaluta putem PhoenixMinera za rudarenje Ethereuma. Iako postoje i DDoS mogućnosti, kako navodi TechRadar, tvrtka Flare nije zabilježila nijedan takav napad, što sugerira da je botnet ili u fazi testiranja ili prikuplja pristup za buduće akcije.
Obrambene strategije protiv SSHStalkera naglašavaju praćenje instalacija kompajlera, neuobičajenih cron aktivnosti i odlaznih veza u stilu IRC-a. Administratorima se savjetuje da onemoguće SSH provjeru autentičnosti lozinkom, uklone kompajlere iz produkcijskih okruženja i provode strogo filtriranje odlaznog prometa. Održavanje jakih antivirusnih rješenja i korištenje dobrih protokola vatrozida može smanjiti izloženost ovoj i drugim prijetnjama starog stila.
