新たに特定されたLinuxボットネットが、15年ほど前のエクスプロイトや手法に依存していると、サイバーセキュリティ企業Flareが報告している。
SSHStalkerと名付けられたこのボットネットは、Internet Relay Chat(IRC)ボットや19件のLinuxカーネルエクスプロイトなど、2009年当時の複数のツールと仕組みを使用している。
Flareによると、このボットネットはかなり騒がしく、永続化のために毎分cronジョブを実行し、ウォッチドッグの「update」再起動モデルを用い、感染したマシン上にさまざまなスキャナーやマルウェアを展開している。
SSHStalkerの痕跡は、OutlawやDotaといったルーマニア関連とされる既知のボットネット運用に似ているが、従来のLinuxキャンペーンとの直接的な関連は見つかっていない。これは、派生した運用者、模倣者、またはOutlawに関連する脅威アクターがこのボットネットの背後にいることを示唆している。
このボットネットの感染チェーンには、複数のC言語ベースのIRCボット亜種、Perl製IRCボット、TsunamiおよびKeitenマルウェアの展開、さらに複数サーバー/チャンネルによる冗長化が含まれており、標的型の作戦というよりは機会主義的なキャンペーンであるように見える。
これまでのところ、SSHStalkerは約7,000のシステムを取り込んだ可能性が高い。そのツールセットは、古いシステム上で稼働するレガシーなLinuxの世代を標的としており、これはインターネットからアクセス可能なLinuxサーバーのおよそ1〜3%に相当するとみられる。
「これはロングテール環境(レガシーなホスティング事業者、放置されたVPSイメージ、古いアプライアンス、産業/OT機器、またはニッチな組み込み展開)では5〜10%に上昇する」とFlareは指摘している。
SSHStalkerは、低〜中位層の脅威アクターがよく使用するオープンソースのエクスプロイトを利用しているが、精選されたカーネルエクスプロイトの使用は「中程度の運用成熟度」を示していると、同社は述べている。
Flareによるボットネットの攻撃フロー分析では、約2ダースのバイナリおよびファイルの展開が明らかになった。
SSHスキャナーの展開に続き、感染の第1段階で、ほぼ同一のIRC制御ボット亜種が2つ展開される。
第2段階では、コマンド&コントロール(C&C)通信のためにPerlボットが展開されるほか、永続化、権限昇格、ログ消去のためのスクリプトも展開される。
最後に、8つのファイルを含む圧縮ファイルが投下される。これには、永続化のロジック(updateスクリプトを毎分実行するcronジョブを作成すること)が含まれている。Flareによると、これらのスクリプトはIRCボットネット・ビルダーを実行するよう設計されていた。
FlareのSSHStalkerに関する調査では、IRC経由で完全なC&C機能を提供するEnergyMech IRCボットの痕跡、典型的なIRCトラフィックに紛れるための各種スラング用語の使用、そして複数の暗号資産マイニング・キットの存在も明らかになった。
FlareはこのボットネットのIRCサーバーも特定したが、その活動に関連する通信は観測されておらず、休眠中またはステージング用のインフラであることを示唆している。
「観測時点では、チャンネルの挙動はユーザーの接続と切断に限られているように見え、目に見える運用上の連携はなかった。注目すべき点として、サーバーおよびルーム構造は正規の公開IRCネットワークと思われる場所でホストされており、環境自体も本物らしく、維持管理されているように見えた」とFlareは述べている。
翻訳元: https://www.securityweek.com/new-sshstalker-linux-botnet-uses-old-techniques/
