Эксперты по кибербезопасности обнаружили новый ботнет под названием SSHStalker, который заражает Linux-устройства и управляет ими через устаревший протокол Internet Relay Chat (IRC). Этот ботнет сочетает в себе массовое сканирование SSH-серверов с применением старых уязвимостей ядра Linux и автоматическим подключением заражённых машин к IRC-сетям управления.
Что такое SSHStalker и как он работает
SSHStalker ориентирован на системы Linux, в первую очередь те, которые давно не обновлялись или работают на устаревших версиях ядра. Основные этапы его работы таковы:
Ботнет начинает с автоматического сканирования портов SSH (обычно порт 22) с помощью собственного инструмента, маскирующегося под утилиту сетевого обнаружения.
После нахождения уязвимой цели он пытается подобрать пароль методом перебора (brute force) и получить доступ к системе.
На заражённой машине SSHStalker устанавливает агента: компилирует различные программы, включая IRC-ботов, которые подключаются к заранее заданным IRC-серверам и каналам для получения дальнейших команд.
Бот добавляет на систему cron-задачу, которая каждые 60 секунд проверяет, запущен ли основной процесс. Если он остановлен защитным ПО, задача автоматически перезапускает его.
Такой механизм делает SSHStalker устойчивым и сложным для быстрой нейтрализации.
К чему здесь IRC и почему это важно
Протокол IRC был разработан в 1988 году и долгое время использовался для текстового общения в сети. Хотя сегодня он практически не применяется в массовых сервисах, он по-прежнему привлекает киберпреступников за счёт простоты, низкой нагрузки и широкого распространения IRC-серверов. SSHStalker использует IRC в роли канала command-and-control (C2), т.е. для удалённого управления ботами.
Использование IRC делает этот ботнет менее заметным для некоторых современных систем мониторинга, поскольку трафик IRC часто игнорируется или не считается подозрительным.
Техники заражения и эксплуатации
SSHStalker не ограничивается только простым подбором пароля. В его арсенале есть набор известных уязвимостей Linux-ядра 2009–2010 годов (CVE-2009-2692, CVE-2010-3437 и другие), которые используются для повышения привилегий на уже скомпрометированных системах.
Кроме того, исследователи обнаружили, что ботнет распространяет дополнительные компоненты такие как средства почистки логов (чтобы скрыть следы атаки), майнинговые программы и инструменты сбора AWS-ключей.
Что делает SSHStalker интересным
Несмотря на использование устаревших техник, SSHStalker представляет серьёзную угрозу по нескольким причинам:
Он нацелен на долго живущие Linux-сервера, т.е. такие, которые давно не обновлялись или работают в нишевых средах (старые VPS, промышленное оборудование, специфические хостинги).
Ботнет продемонстрировал способность заражать тысячи систем, что делает его масштабной операцией, а не изолированным инцидентом.
IRC-команды позволяют управлять ботами централизованно, а встроенные механизмы устойчивости (cron, watchdog-подобные перезапуски) затрудняют оперативное уничтожение исполняемых модулей.
Рекомендации для защиты
Эксперты по безопасности предлагают несколько мер, которые помогут сократить риск заражения и распространения подобных угроз:
Отключить аутентификацию паролем SSH, переключившись на ключи что значительно усложняет brute-force-подбор.
Удалить компиляторы и интерпретаторы (gcc, perl и т.п.) с серверов, где они не нужны. Это мешает ботнету собирать свои компоненты на месте.
Фильтрация исходящих соединений, особенно к IRC-портам (6667, 6697), может помешать ботам связаться с C2-сетями.
Настроить систему мониторинга на обнаружение частых cron-задач из необычных путей.
Источник: Hacker News