新たに文書化されたLinuxボットネット「SSHStalker」が、コマンド&コントロール(C2)操作にIRC(Internet Relay Chat)通信プロトコルを使用している。
このプロトコルは1988年に発明され、1990年代に採用のピークを迎え、グループおよびプライベート通信のための主要なテキストベースのインスタントメッセージングソリューションとなった。
技術コミュニティは、その実装の簡潔性、相互運用性、低帯域幅要件、およびGUIが不要である点を今でも評価している。
SSHStalkerボットネットは、最新のC2フレームワークの代わりに、複数のCベースのボットやマルチサーバー/チャネルの冗長性といった古典的なIRCメカニズムに依存しており、ステルス性や技術的新規性よりも回復力、規模、低コストを優先している。
脅威インテリジェンス企業Flareの研究者によると、このアプローチは、ノイジーなSSHスキャン、1分間隔のcronジョブ、15年前の大量のCVEカタログの使用など、SSHStalkerの運用の他の特性にも及んでいる。
「実際に見つけたのは、古典的なIRCコントロール、ホスト上でのバイナリコンパイル、大量のSSH侵害、cronベースの永続化を組み合わせた、騒々しく継ぎはぎされたボットネットキットでした。言い換えれば、ステルス性よりも信頼性を優先するスケール優先の運用です」とFlareは述べている。
出典: Flare
SSHStalkerは、人気のあるオープンソースネットワーク検出ユーティリティnmapになりすましたGoバイナリを使用して、自動化されたSSHスキャンとブルートフォース攻撃によって初期アクセスを実現する。
侵害されたホストは、追加のSSHターゲットをスキャンするために使用され、これはボットネットのワームのような伝播メカニズムに似ている。
Flareは、ほぼ7,000件のボットスキャンの結果を含むファイルを発見しており、すべて1月のもので、主にOracle Cloudインフラストラクチャのクラウドホスティングプロバイダーに焦点を当てていた。
SSHStalkerがホストに感染すると、より良い可搬性と回避のために被害者のデバイス上でペイロードをコンパイルするためのGCCツールをダウンロードする。
最初のペイロードは、ハードコードされたC2サーバーとチャネルを持つCベースのIRCボットであり、新しい被害者をボットネットのIRCインフラストラクチャに登録する。
次に、マルウェアはGSとbootbouという名前のアーカイブを取得し、これらにはオーケストレーションと実行シーケンスのためのボットバリアントが含まれている。
永続化は、60秒ごとに実行されるcronジョブによって達成され、メインのボットプロセスが実行されているかどうかをチェックし、終了した場合は再起動するウォッチドッグスタイルの更新メカニズムを呼び出す。
ボットネットには、2009年から2010年時代のLinuxカーネルバージョンを対象とした16のCVEに対するエクスプロイトも含まれている。これは、以前のブルートフォース手順が低権限ユーザーへのアクセスを許可した後に、権限を昇格させるために使用される。
出典: Flare
収益化に関して、Flareはボットネットがアマゾン ウェブ サービス(AWS)キーの収集とウェブサイトスキャンを実行していることに気付いた。また、高性能なEthereumマイナーであるPhoenixMinerなどの暗号通貨マイニングキットも含まれている。
分散型サービス拒否(DDoS)機能も存在しているが、研究者はまだそのような攻撃を観察していないと述べている。実際、SSHStalkerのボットは現在、C2に接続してからアイドル状態に入るだけであり、現時点ではテストまたはアクセスの蓄積を示唆している。
Flareは、SSHStalkerを特定の脅威グループに帰属させていないが、Outlaw/Maxlasボットネットエコシステムおよび様々なルーマニアの指標との類似性を指摘している。
脅威インテリジェンス企業は、本番サーバー上でのコンパイラのインストールと実行に対する監視ソリューション、およびIRCスタイルのアウトバウンド接続に対するアラートを配置することを提案している。異常なパスからの短い実行サイクルを持つcronジョブも大きな危険信号である。
緩和策の推奨事項には、SSHパスワード認証の無効化、本番イメージからのコンパイラの削除、エグレスフィルタリングの強制、および’/dev/shm’からの実行の制限が含まれる。
