2ヶ月間にわたってSSHハニーポットで収集されたデータを通じて特定されたこのキャンペーンは、時代の洗練された融合を表しています。2000年代後半の「オールドスクール」なインターネットリレーチャット(IRC)ボットネット戦術と、現代の自動化された大量侵害技術を融合させています。
インフラストラクチャは既知の脅威に類似していますが、SSHStalkerはステルス性よりも回復力と規模に焦点を当てた独自の作戦です。
SSHStalkerをユニークにしているのは、展開における「現地調達」アプローチです。単に既製のウイルスを投下するのではなく、攻撃者は被害者のマシン上に自動化されたパイプラインを作成します:
- 侵入: 攻撃は、SSHポートが開いているサーバー(ポート22)をスキャンするGolangベースのバイナリ(nmapに偽装)から始まります。
- 構築: アクセスが確保されると、マルウェアはGCCコンパイラをダウンロードします。次に、被害者のサーバーに生のCソースコードファイルを投下し、その場でマルウェアをコンパイルします。
- 接続: 新たにコンパイルされたボットは直ちにIRCサーバーに接続します。これにより、攻撃者はチャットチャンネルを使用して数千台の感染したマシンを制御できます。これは冗長性のために非常に効果的なレガシー手法です。
Flareの調査チームは、SSHStalkerと名付けられた文書化されていないLinuxボットネット作戦を発見しました。
永続性: 60秒ウォッチドッグ
SSHStalkerは非常にノイジーですが、削除が困難に設計されています。脅威アクターは隠密性よりもボットを生存させることを優先します。
ボットネットは、DDoS攻撃を開始したり暗号通貨マイニングを実施したりする能力を武器として持っているにもかかわらず、観察可能な影響操作を実行することなく永続的なアクセスを維持していました。
このキットは1分ごとに実行されるCronジョブ(スケジュールされたタスク)をインストールします。このスクリプトは「ウォッチドッグ」として機能します。
マルウェアプロセスが実行されているかどうかをチェックし、防御者やアンチウイルスがボットを停止した場合、ウォッチドッグスクリプトは60秒以内に自動的に再コンパイルして再起動します。
この積極的な永続性メカニズムにより、個々のプロセスが終了してもボットネットは安定したままになります。
調査では、Linuxカーネルバージョン2.6.xを標的とした大規模なエクスプロイトライブラリが明らかになりました。これらの脆弱性は2009年と2010年にさかのぼります。
これらのエクスプロイトは、最新のアップデートされたLinuxサーバーに対しては効果がありませんが、「ロングテール」のレガシー環境に対しては壊滅的に効果的です。
これには、忘れ去られたクラウドインスタンス、古いIoTデバイス、およびメンテナンスされていない仮想プライベートサーバー(VPS)が含まれます。
Flareは、Oracle Cloudなどのクラウドホスティング環境に大きく集中した、約7,000の侵害されたIPの証拠を発見しました。
スキャン結果は、クラウドホスティングプロバイダーに大きく偏っており、AS31898やその関連Oracleネットワーク範囲などの大規模なASNブロックを運用するOracle Cloudインフラストラクチャの強い指標があります。
攻撃者は、これらのレガシーシステムの大規模なネットワークを構築して暗号通貨(特にEthereum Classic)をマイニングし、AWS認証情報を収集しようとしているようです。
ルーマニアとのつながり
SSHStalkerの運用指紋は、Outlaw(またはMaxlas)ボットネットグループに強く類似しています。
ファイル構造、IRCの使用、および特定の永続性メソッドは類似しています。さらに、このキットはルーマニア語のアーティファクト、スラング、およびニックネームで満たされています。
しかし、Outlawとの直接的な関連を示す識別子は見つかりませんでした。これは、SSHStalkerがおそらく「コピーキャット」または同じエコシステムで活動する派生グループであり、異なる目的を達成するために類似のツールキットを利用していることを示唆しています。
このキャンペーンの最も顕著な警告サインは、本番サーバー上でのコンパイラのアクティビティです。防御者は、/tmpや/dev/shmなどのディレクトリでのgcc、make、またはビルドツールの実行を監視する必要があります。
さらに、アウトバウンドIRCトラフィックをブロックし、毎分実行されるCronジョブを監視することで、永続的な足場になる前に感染を検出できます。
侵害の痕跡
| # | タイプ | 値 | MD5ハッシュ | コメント/検出 |
|---|---|---|---|---|
| 1 | ELFファイル | h32 | 0d01bd11d1d3e7676613aacb109de55f |
Prochiderルートキット |
| 2 | ELFファイル | h64 | 1e288bb6920d9cf07d0e5dbc8614469d |
Prochiderルートキット |
| 3 | ELFファイル | run32 | 32ee52b2918e06e3925eaccb0bea2d66 |
IRCボット |
| 4 | ELFファイル | run64 | 88a31724d376ba7ac8ce5c10f97da83d |
IRCボット |
| 5 | ELFファイル | nmap | f8f76d8772f07b716913ba85f3af8380 |
ペイロードとして分類(cr4myx.exeでスキャン) |
| 6 | シェルファイル | autorun | 5b9d4ff6a89da88dcf1d7d04b6d1e976 |
cron永続性を作成し「run」を実行 |
| 7 | シェルファイル | go | 4c3d248b1fc8d4963ebdded4aecfcb8e |
Win.Trojan.Tsunami-5 |
| 8 | シェルファイル | run | 70677ce8be9ebc5f81c299f753b98d66 |
ルートキットを実行 |
| 9 | シェルファイル | update | 26ad93d703a565a2642c422b2434fc78 |
— |
| 10 | Tarファイル | bootbou.tgz | 98f1ac9c9baf2562eb00b7d4f89dc0dc |
マルウェアとスクリプトを含む |
| 11 | IPアドレス | 64.227.142.133 | — | 悪意あるとマーク; 特定の検出なし |
| 12 | Cファイル | 1.c | 6ca73134ee02fb373ebaf9321b9840c8 |
Win.Trojan.Tsunami-5 |
| 13 | Cファイル | 2.c | a24cabef282713b6c0e3f9c3efdabd91 |
Win.Trojan.Tsunami-5 |
| 14 | Zipファイル | gs.zip | 3b64c2ecd7ea152f9d4af9d0461db265 |
マルウェアとスクリプトを含む |
| 15 | Tarファイル | gs.tar | fb2ddb699bed59ff420b43f5640e7e0c |
マルウェアとスクリプトを含む |
| 16 | Cファイル | a.c | a8d19e08aa022bacd8a76777874fad8a |
Win.Trojan.Tsunami-5 |
| 17 | Perlファイル | bot | 1d4c9039ca7e0b3e93c708f5d02f92a0 |
Win.Trojan.Tsunami-5 |
| 18 | Cファイル | clean.c | 077cdcbe6c1bf4a0f4bc81feaf283be3 |
アクセス記録とログをクリーン |
| 19 | Cファイル | cls.c | 2b31ba929f3e4f8e8c84b3815b0e4909 |
ログインログをクリーン |
| 20 | シェルファイル | distro | 94e513b01f26399ae16ac91b50fde268 |
— |
| 21 | シェルファイル | go | fd55f0754084ba041539bb469f06a83d |
— |
| 22 | Cファイル | ping.c | 4777d24c864c04a6bfabb836811edf2d |
特権バックドア |
| 23 | IPアドレス | 185.243.218.59 | — | IRCチャンネル #xxと#SIP |
| 24 | IPアドレス | 154.35.175.201 | — | IRCチャンネル #xxと#SIP |
| 25 | IPアドレス | 94.125.182.255 | — | IRCチャンネル #xxと#SIP |
| 26 | IPアドレス | 23.228.66.219 | — | IRCチャンネル #xxと#SIP |
| 27 | IPアドレス | 199.71.214.87 | — | IRCチャンネル #xxと#SIP |
| 28 | IPアドレス | 172.83.156.122 | — | IRCチャンネル #xxと#SIP |
| 29 | ドメイン | irc.undernet.org | — | IRCチャンネル #xxと#SIP |
| 30 | ドメイン | plm.ftp.sh | — | IRCチャンネル #xxと#SIP |
| 31 | ドメイン | gsm.ftp.sh | — | IRCチャンネル #xxと#SIP |
翻訳元: https://gbhackers.com/legacy-irc-botnet/
