- SSHStalker gebruikt IRC-kanalen en verschillende bots om geïnfecteerde Linux-hosts te controleren
- Geautomatiseerde brute forcering van SSH verspreidt het botnet snel via cloudserverinfrastructuren
- Compilers worden lokaal gedownload om payloads te bouwen voor betrouwbare uitvoering van cross-distributie
SSHStalker, een onlangs ontdekte Linux botnet, vertrouwt blijkbaar op het klassieke IRC-protocol (Internet Relay Chat) om zijn activiteiten te beheren.
IRC, opgericht in 1988, was ooit het dominante instant messaging-systeem voor technische gemeenschappen vanwege de eenvoud, de lage bandbreedtevereisten en de platformonafhankelijke compatibiliteit.
In tegenstelling tot moderne command-and-control-frameworks gebruikt SSHStalker meerdere bots, redundante kanalen en servers om de controle over geïnfecteerde apparaten te behouden en tegelijkertijd de bedrijfskosten laag te houden.
Botnetstructuur en commando-infrastructuur
SHStalker’s malware krijgt initiële toegang via geautomatiseerde SSH-scans en brute-force-aanvallen, en gebruikt vervolgens een op Go gebaseerd binair bestand, vermomd als de open source netwerktool nmap, om servers te infiltreren.
Onderzoekers van beveiligingsbedrijf Flare documenteerden in één maand bijna 7.000 botscanresultaten, voornamelijk gericht op cloudinfrastructuur, waaronder Oracle Cloud-omgevingen.
Zodra een host is gecompromitteerd, wordt deze onderdeel van het voortplantingsmechanisme van het botnet, waarbij andere servers in een wormachtig patroon worden gescand.
Na infectie downloadt SSHStalker de GCC-compiler om payloads rechtstreeks op het aangetaste systeem te bouwen, waardoor de op C gebaseerde IRC-bots betrouwbaar kunnen worden uitgevoerd op verschillende Linux-distributies.
Deze bots bevatten hardgecodeerde servers en kanalen die de host inschrijven in het IRC-gestuurde botnet.
Extra payloads genaamd GS en bootbou zorgen voor orkestratie en uitvoeringsvolgorde, waardoor effectief een schaalbaar netwerk van geïnfecteerde machines ontstaat onder gecentraliseerde IRC-controle.
De persistentie op elke host wordt gehandhaafd via cron-taken die elke minuut worden uitgevoerd en die het botproces monitoren en opnieuw opstarten als het wordt beëindigd, waardoor een constante feedbacklus ontstaat.
Het botnet maakt ook gebruik van exploits voor 16 oude Linux-kernel-CVE’s die dateren van 2009 tot 2010 en gebruikt deze om bevoegdheden te escaleren wanneer een gebruikersaccount met weinig bevoegdheden wordt gecompromitteerd.
Naast de basiscontroles heeft SSHStalker ingebouwde mechanismen voor het genereren van inkomsten terwijl de malware AWS-sleutels verzamelt, sites scant en cryptomining-mogelijkheden biedt via PhoenixMiner voor Ethereum-mining.
Hoewel er DDoS-mogelijkheden bestaan, heeft Flare geen enkele aanval waargenomen, wat erop wijst dat het botnet de toegang aan het testen of hamsteren is.
Defensieve strategieën tegen SSHStalker leggen de nadruk op het monitoren van compilerinstallaties, ongebruikelijke cron-activiteit en uitgaande verbindingen in IRC-stijl.
Beheerders wordt geadviseerd om SSH-wachtwoordverificatie uit te schakelen, compilers uit productieomgevingen te verwijderen en strikte filtering op uitgaand verkeer af te dwingen.
Blijf sterk antivirusoplossingen en goed gebruiken firewall protocollen kunnen de blootstelling aan deze en andere bestaande bedreigingen verminderen.
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
