- SSHStalker nutzt IRC-Kanäle und mehrere Bots, um infizierte Linux-Hosts zu kontrollieren
- Automatisiertes SSH-Brute-Forcing verbreitet das Botnetz schnell über Cloud-Server-Infrastrukturen
- Compiler werden lokal heruntergeladen, um Nutzlasten für eine zuverlässige verteilungsübergreifende Ausführung zu erstellen
SSHStalker, ein kürzlich entdeckter Linux Botnet verlässt sich bei der Verwaltung seines Betriebs offenbar auf das klassische IRC-Protokoll (Internet Relay Chat).
IRC wurde 1988 gegründet und war aufgrund seiner Einfachheit, seines geringen Bandbreitenbedarfs und seiner plattformübergreifenden Kompatibilität einst das führende Instant-Messaging-System für technische Communities.
Im Gegensatz zu modernen Command-and-Control-Frameworks verwendet SSHStalker mehrere Bots, redundante Kanäle und Server, um die Kontrolle über infizierte Geräte zu behalten und gleichzeitig die Betriebskosten niedrig zu halten.
Botnet-Struktur und Befehlsinfrastruktur
SSHStalker’s Schadsoftware verschafft sich zunächst Zugriff durch automatisiertes SSH-Scannen und Brute-Force-Angriffe und nutzt dann eine Go-basierte Binärdatei, die als Open-Source-Netzwerktool nmap getarnt ist, um Server zu infiltrieren.
Forscher des Sicherheitsunternehmens Flare dokumentierten in einem einzigen Monat fast 7.000 Bot-Scan-Ergebnisse, die hauptsächlich auf Cloud-Infrastrukturen, einschließlich Oracle Cloud-Umgebungen, abzielten.
Sobald ein Host kompromittiert wird, wird er Teil des Ausbreitungsmechanismus des Botnetzes und scannt andere Server in einem wurmähnlichen Muster.
Nach der Infektion lädt SSHStalker den GCC-Compiler herunter, um Payloads direkt auf dem kompromittierten System zu erstellen, wodurch sichergestellt wird, dass seine C-basierten IRC-Bots zuverlässig auf verschiedenen Linux-Distributionen ausgeführt werden können.
Diese Bots enthalten fest codierte Server und Kanäle, die den Host in das IRC-kontrollierte Botnetz eintragen.
Zusätzliche Payloads namens GS und Bootbou sorgen für Orchestrierung und Ausführungssequenzierung und schaffen so effektiv ein skalierbares Netzwerk infizierter Maschinen unter zentraler IRC-Kontrolle.
Die Persistenz auf jedem Host wird durch Cron-Jobs aufrechterhalten, die jede Minute ausgeführt werden, den Haupt-Bot-Prozess überwachen und ihn bei Beendigung neu starten, wodurch eine ständige Feedback-Schleife entsteht.
Das Botnetz nutzt außerdem Exploits für 16 alte Linux-Kernel-CVEs aus den Jahren 2009 bis 2010 und nutzt sie zur Eskalation von Berechtigungen, sobald ein Benutzerkonto mit geringen Berechtigungen kompromittiert wird.
Über die grundlegende Kontrolle hinaus verfügt SSHStalker über integrierte Monetarisierungsmechanismen, da die Malware AWS-Schlüssel sammelt, Website-Scans durchführt und Kryptomining-Funktionen über PhoenixMiner für das Ethereum-Mining enthält.
Obwohl DDoS-Fähigkeiten vorhanden sind, hat Flare keine Angriffe beobachtet, was darauf hindeutet, dass das Botnetz den Zugriff entweder testet oder hortet.
Abwehrstrategien gegen SSHStalker konzentrieren sich auf die Überwachung von Compiler-Installationen, ungewöhnliche Cron-Aktivitäten und ausgehende Verbindungen im IRC-Stil.
Administratoren wird empfohlen, die SSH-Passwortauthentifizierung zu deaktivieren, Compiler aus Produktionsumgebungen zu entfernen und eine strenge Ausgangsfilterung durchzusetzen.
Stark bleiben Antivirenlösungen und gut nutzen Firewall Protokolle können die Gefährdung durch diese und andere Bedrohungen im Legacy-Stil verringern.
Über BleepingComputer
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
