0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Майнинг, кража данных и никакого стелса. Ботнет, который ведёт себя как слон в посудной лавке

Flare SSHStalker Linux ботнет IRC SSH криптомайнинг
Майнинг, кража данных и никакого стелса. Ботнет, который ведёт себя как слон в посудной лавке
Flare SSHStalker Linux ботнет IRC SSH криптомайнинг

Злоумышленники используют настолько старые трюки, что о них успели забыть даже администраторы.

image

Команда Flare обнаружила ранее не описанную ботнет сеть для Linux, получившую имя SSHStalker. Активность выявлена во время наблюдений за приманочным SSH сервером с ослабленной защитой. За два месяца специалисты зафиксировали серию вторжений, которые показали необычное сочетание старых IRC методов управления и современной автоматизации массового взлома.

В основе схемы лежит классическая IRC модель управления заражёнными узлами. Операторы используют несколько вариантов ботов на C, Perl и shell, а также известные семейства вредоносного кода наподобие Tsunami и Keiten. Управление строится через несколько серверов и каналов одновременно, что повышает устойчивость инфраструктуры и снижает зависимость от отдельных узлов. Вместо скрытности сделан упор на простоту и живучесть.

После подбора учётных данных по SSH на сервер загружается набор инструментов. Среди них сканер, замаскированный под nmap, но написанный на Go. Он ищет новые узлы с открытым портом 22 и расширяет заражение. Далее разворачивается цепочка файлов, которые компилируются прямо на атакованной машине через GCC. Такой подход позволяет подстраиваться под архитектуру и конфигурацию конкретной системы.

Механизм закрепления предельно шумный, но результативный — создаётся задание cron с запуском каждую минуту. Специальный скрипт проверяет наличие основного процесса и при остановке немедленно перезапускает его. Даже частичная очистка приводит лишь к кратковременному эффекту. Дополнительно применяются утилиты для подмены и очистки журналов входа, а также несколько модулей уровня rootkit.

В арсенале обнаружен крупный набор эксплойтов для устаревших ядер Linux ветки 2.6.x с уязвимостями 2009–2010 годов. Для современных систем они почти бесполезны, однако всё ещё работают против забытых серверов, старых образов VPS и встраиваемых устройств. По оценке авторов отчёта, в зоне риска остаётся до 3% внешних Linux узлов, а в сегменте устаревшей инфраструктуры показатель может достигать 10%.

Отдельный модуль ориентирован на поиск секретов на веб сайтах. Инструмент перебирает десятки тысяч путей и анализирует ответы страниц, пытаясь выявить ключи доступа облачных сервисов AWS. Поддерживаются прокси, современные TLS библиотеки и DNS over HTTPS, что говорит о расчёте на масштабное сканирование.

Также найдены наборы для скрытого майнинга криптовалют и конфигурации пулов. Часть инфраструктуры и словарей внутри IRC ботов содержит румынские никнеймы и сленг. При этом прямых признаков связи с известными группировками Outlaw или Maxlas не обнаружено. Структура и приёмы работы указывают скорее на подражателя или родственную команду.

Анализ IRC каналов показал подключение заражённых машин без явных управляющих команд. Это может говорить о тестовой фазе или подготовке площадки для будущих операций. Специалисты рекомендуют отключать вход по паролю в SSH, ограничивать внешний доступ, следить за запуском компиляторов на рабочих серверах и контролировать задания cron с частым интервалом выполнения.