SSHStalker僵尸网络利用IRC控制服务器攻击Linux系统

网络安全研究人员披露了一个名为SSHStalker的新型僵尸网络操作详情，该网络依赖Internet中继聊天（IRC）通信协议进行命令和控制。

网络安全公司Flare表示："该工具集融合了隐蔽辅助工具与传统Linux漏洞利用技术：除了日志清理工具（utmp/wtmp/lastlog篡改）和Rootkit级别的恶意软件外，攻击者还保持着大量Linux 2.6.x时代的漏洞利用库（2009-2010年CVE漏洞）。这些漏洞对现代系统价值不高，但对'被遗忘'的基础设施和长尾传统环境仍然有效。"

SSHStalker结合了IRC僵尸网络机制与自动化大规模入侵操作，使用SSH扫描器和其他现成扫描器将易受攻击的系统纳入网络并加入IRC频道。

然而，与通常利用此类僵尸网络进行分布式拒绝服务（DDoS）攻击、代理劫持或加密货币挖矿等机会主义活动的其他攻击活动不同，SSHStalker被发现能够维持持久访问而无任何后续的攻击后行为。

这种休眠行为使其与众不同，表明被入侵的基础设施可能被用于准备、测试或战略访问保留以备将来使用。

SSHStalker的核心组件是一个Golang扫描器，扫描端口22寻找开放SSH的服务器，以蠕虫式方式扩展其范围。同时还部署了几个有效载荷，包括IRC控制机器人的变种和一个Perl文件机器人，连接到UnrealIRCd IRC服务器，加入控制频道，等待允许其执行洪水式流量攻击和控制机器人的命令。

这些攻击的特点还包括执行C程序文件来清理SSH连接日志，从日志中清除恶意活动痕迹以减少取证可见性。此外，恶意软件工具包含有"保活"组件，确保主要恶意软件进程在被安全工具终止时能在60秒内重新启动。

SSHStalker的显著特点是将大规模入侵自动化与包含16个不同漏洞的目录相结合，这些漏洞影响Linux内核，有些可以追溯到2009年。漏洞利用模块中使用的一些缺陷包括CVE-2009-2692、CVE-2009-2698、CVE-2010-3849、CVE-2010-1173、CVE-2009-2267、CVE-2009-2908、CVE-2009-3547、CVE-2010-2959和CVE-2010-3437。

Flare对与威胁行为者相关的准备基础设施的调查发现了大量开源攻击工具和之前发布的恶意软件样本库。这些包括：

用于促进隐蔽和持久性的rootkit

加密货币挖矿程序

一个Python脚本，执行名为"网站抓取器"的二进制文件，从目标网站窃取暴露的亚马逊网络服务（AWS）密钥

EnergyMech，一个提供命令控制和远程命令执行功能的IRC机器人

怀疑该活动背后的威胁行为者可能来自罗马尼亚，因为在IRC频道和配置词汇表中出现了"罗马尼亚风格的昵称、俚语模式和命名约定"。此外，操作指纹与被称为Outlaw（又名Dota）的黑客组织高度重叠。

Flare表示："SSHStalker似乎不专注于新颖的漏洞开发，而是通过成熟的实施和编排展示操作控制，主要使用C语言编写核心机器人和低级组件，使用shell进行编排和持久化，并限制使用Python和Perl主要用于攻击链中的实用程序或支持自动化任务以及运行IRC机器人。"

"威胁行为者并非在开发零日漏洞或新颖的rootkit，而是在大规模入侵工作流程、基础设施回收和跨异构Linux环境的长尾持久化方面展示了强大的操作纪律。"

Q&A

Q1：SSHStalker僵尸网络有什么特殊之处？

A：SSHStalker结合了IRC僵尸网络机制与自动化大规模入侵操作，其特殊之处在于维持休眠状态的持久访问而不进行后续攻击行为，这表明被入侵的基础设施可能被用于未来的战略用途。

Q2：SSHStalker使用了哪些漏洞进行攻击？

A：SSHStalker使用了16个不同的Linux内核漏洞，主要是2009-2010年的传统漏洞，包括CVE-2009-2692、CVE-2009-2698、CVE-2010-3849等，这些漏洞对现代系统威胁较小但对传统环境仍然有效。

Q3：如何防护SSHStalker僵尸网络攻击？

A：应及时更新Linux内核版本修补传统漏洞，加强SSH服务器安全配置，监控异常IRC通信和日志篡改行为，部署有效的安全工具检测和阻止恶意软件的保活机制。