- SSHStalker usa canais IRC e vários bots para monitorar hosts Linux infectados
- A força bruta SSH automatizada propaga rapidamente o botnet por meio da infraestrutura de servidor em nuvem
- Os compiladores são baixados localmente para criar cargas úteis para execução confiável de distribuição cruzada
SSHStalker, um botnet Linux descoberto recentemente, aparentemente depende do protocolo clássico IRC (Internet Relay Chat) para gerenciar suas operações.
Fundado em 1988, o IRC era o sistema de mensagens instantâneas dominante para a comunidade técnica devido à sua simplicidade, baixos requisitos de largura de banda e compatibilidade entre plataformas.
Ao contrário das modernas estruturas de comando e controle, o SSHStalker usa vários bots, canais redundantes e servidores para manter o controle sobre os dispositivos infectados e, ao mesmo tempo, manter baixos os custos operacionais.
Estrutura de botnet e infraestrutura de comando
O malware do SSHStalker obtém acesso inicial por meio de varredura SSH automatizada e ataques de força bruta e, em seguida, usa um binário baseado em Go disfarçado de ferramenta nmap de rede de código aberto para se infiltrar nos servidores.
Pesquisadores da empresa de segurança Flare documentaram quase 7.000 resultados de varreduras de bots em apenas um mês, principalmente visando infraestrutura em nuvem, incluindo ambientes Oracle Cloud.
Quando um host é comprometido, ele se torna parte do mecanismo de propagação do botnet, verificando outros servidores em um padrão semelhante ao de um worm.
Após a infecção, o SSHStalker baixa o compilador GCC para construir cargas diretamente no sistema comprometido, o que garante que os bots de IRC baseados em C possam ser executados de forma confiável em diferentes distribuições Linux.
Esses bots possuem servidores e canais codificados que inscrevem o host na botnet controlada por IRC.
Cargas adicionais chamadas GS e bootbou fornecem orquestração e sequenciamento de execução, criando efetivamente uma rede escalável de máquinas infectadas sob controle centralizado de IRC.
A vida útil de cada host é mantida por tarefas cron configuradas para serem executadas a cada minuto, que monitoram o processo principal do bot e o reiniciam quando ele termina, criando um ciclo de feedback contínuo.
A botnet também explora 16 CVEs para kernels Linux mais antigos, de 2009 a 2010, usando-os para aumentar privilégios quando uma conta de usuário com poucos privilégios é comprometida.
Além do controle básico, o SSHStalker possui mecanismos de monetização, pois o malware coleta chaves AWS, realiza varredura de sites e inclui recursos de criptomineração para mineração de Ethereum via PhoenixMiner.
Embora existam capacidades DDoS, Flare não viu nenhum ataque, sugerindo que a botnet está testando ou armazenando acesso.
As estratégias de defesa contra o SSHStalker enfatizam o monitoramento de instalações de compiladores, atividades incomuns de cron e conexões de saída no estilo IRC.
Os administradores são aconselhados a desabilitar a autenticação por senha SSH, remover compiladores de ambientes de produção e implementar filtragem de saída rigorosa.
Manter soluções antivírus fortes e usar bons protocolos de firewall pode reduzir sua exposição a este e outros tipos de ameaças.
Através BipandoComputador
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
