SSHStalker僵尸网络通过暴力破解攻陷7000台Linux服务器

一个新发现的僵尸网络正在通过暴力破解弱SSH密码登录认证来攻陷防护不当的Linux服务器。

发现该僵尸网络的加拿大Flare Systems研究人员进入了其暂存服务器，发现截至1月底至少有7000台服务器被攻陷，其中一半位于美国。

该僵尸网络的武器库包括针对未打补丁的Linux漏洞的攻击代码，这些漏洞最早可追溯到2009年。

研究人员将这个名为SSHStalker的僵尸网络描述为"一个复杂的操作，将2009年时代的IRC僵尸网络战术与现代大规模攻陷自动化技术相结合"。

它拥有一个"拼接而成的僵尸网络工具包"，可执行无文件恶意软件、rootkit、日志清理器和各种内核攻击代码。除其他功能外，它还会收集AWS凭据。

研究人员称SSHStalker是一个"规模优先的操作，更注重可靠性而非隐蔽性"。

然而，到目前为止，该僵尸网络除了在受感染机器上维持持久性外，并未做太多其他事情。它具备发起DDoS攻击和进行加密货币挖矿的能力，但尚未采取任何行动来将其访问权限货币化。Flare表示，这表明操作者要么仍在构建僵尸网络基础设施，要么处于测试阶段，或者是在为将来使用而保持访问权限。

对于首席安全官们来说，好消息是根据Flare网络安全研究员Assaf Morag的说法，目前有一种方法可以完全阻止这个特定的僵尸网络：禁用对Linux机器的SSH密码认证，用基于SSH密钥的认证替换它，或者将密码登录隐藏在VPN后面。

这种改变应该伴随SSH暴力破解速率限制的实施、监控试图访问互联网连接Linux服务器的人员，以及将服务器远程访问限制在特定IP范围内。

然而，Morag警告说，目前SSHStalker正在寻找SSH保护较弱的Linux服务器，但操作者随时可能添加另一种攻击向量，比如未打补丁的服务器漏洞或错误配置。

安全基础仍是关键

SANS研究所现场首席信息安全官兼人工智能安全副总裁Chris Cochran表示，SSHStalker提醒我们安全基础仍然决定着战斗的胜负。

"是的，人工智能正在改变威胁格局。是的，自动化正在加速攻击。但这次活动证明了一些更简单但更令人不安的事情：老伎俩仍然有效，"他说。"如果我今天与另一位首席信息安全官交谈，我的建议不是'购买更多AI'。"

他说，首席安全官和信息安全领导者应该利用这份报告作为借口，最终确定一些他们一直想要实施的安全基础措施。这包括停止使用密码登录。"如果你在2026年仍然允许基于密码的SSH访问，你基本上就是在邀请僵尸网络来喝咖啡，"Cochran说。

信息安全领导者应该转向基于密钥的认证，或者转向具有短期凭据或身份感知代理的解决方案。

其次，他们需要积极盘点IT资产，遵循"你无法保护你不知道存在的东西"这一古老规则。

他说，被SSHStalker攻击的数千个系统中的大多数都是被遗忘的服务器。

第三，信息安全领导者必须意识到他们环境中的真正问题是安全债务：未打补丁系统的积压、持续存在的已知漏洞，以及"我们下个季度会处理"的积压。

"这些就是被利用的地方，"他说。"在我们解决99%无聊的威胁之前，我们需要停止追逐1%酷炫的威胁。"

1Password全球咨询首席信息安全官Dave Lewis补充说，信息安全领导者应该确保生产服务器上没有编译器，构建工具只在指定的构建主机上。应该对类似IRC的流量设置警报，在Linux服务器上进行cron/systemd完整性监控，特别是对"每分钟运行"的模式。

最后，由于SSHStalker寻找较旧的Linux机器，管理员应该制定传统Linux根除计划，优先断开任何版本为Linux内核2.6的机器，因为这些服务器正在被目标攻击。

攻击机制分析

SSHStalker的发现源于Flare在今年年初创建的一个SSH蜜罐，故意使用弱凭据，看看会发生什么。虽然大多数攻击来自已知威胁行为者，但有一个来自某个源的明显集群，没有类似的执行流程或先前的攻陷指标。

在进入Linux机器后，恶意软件会用自己的SSH密钥创建后门以维持访问权限。它还会安装一个扫描22端口的二进制文件，寻找具有无保护SSH的服务器，试图找到其他新的易受攻击服务器。有效载荷还包含几个C脚本，包括用于编译和运行恶意软件的Linux gcc。

Morag说，这个阶段是"嘈杂的"，所以防御者应该注意它可以被寻找异常服务器行为的应用程序检测到。

zip文件中的二级有效载荷包括用于与命令和控制服务器通信的IRC机器人。其他阶段安装在内存中运行的恶意软件。

"整个执行链非常嘈杂，"Morag说。"他们不需要做所有这些。我猜他们试图在物联网设备上运行，但也在商业服务器上运行。"

这也表明操作者仍处于构建僵尸网络的早期阶段，他说。

但报告还说IRC组件可以用来隐藏活动，比如包含随机聊天短语。报告说："这强烈表明机器人不仅被配置用于控制，还用于行为伪装"，通过在IRC频道中生成类似人类的噪音来掩盖真实操作者活动，或使自动化存在显得有机。"这种战术与传统僵尸网络操作技艺一致，混合到公共频道中减少了怀疑，同时仍允许操作者通过私人消息、DCC会话或链接的机器人网络发出命令，"报告说。

恶意软件寻找较旧的Linux内核，包括版本2.6.18、2.6.18-164、2.6.31和2.6.37。Flare估计这大约包括3%的面向互联网的Linux服务器。

但在Flare称为长尾环境（如传统托管提供商、废弃的VPS镜像、过时的设备、工业/OT设备或小众嵌入式部署）中，这个比例可能高达10%。

内核攻击代码库包括16个不同的CVE，其中5个可追溯到2009年，3个到2010年。从恶意软件的组件来看，报告说，操作者可能了解内核版本指纹识别、权限提升链和大规模利用工作流程，即使他们没有开发新颖的攻击代码。

防护建议

除了禁用SSH密码认证外，报告建议信息安全领导者：

设置当非系统进程试图修改登录账户记录时触发的警报；

如果可能，从生产镜像中移除编译器；

仅在受控构建环境中允许工具链执行；

根据业务需要执行出口过滤；

使用防病毒扫描器来捕获SSHStalker丢弃的二进制文件；

监控gcc的未经授权执行；

设置当编译器从用户目录、/tmp或/dev/shm运行时的警报；

设置当新编译的二进制文件在创建后几秒或几分钟内执行时的警报；

在服务器上设置警报以检测与未知外部聊天或中继基础设施的通信。

Q&A

Q1：SSHStalker僵尸网络是如何攻击Linux服务器的？

A：SSHStalker通过暴力破解弱SSH密码登录认证来攻陷防护不当的Linux服务器。它会扫描22端口寻找具有无保护SSH的服务器，然后利用2009年以来的各种Linux内核漏洞进行攻击。攻击成功后，会创建后门并安装各种恶意软件组件。

Q2：如何防护SSHStalker僵尸网络的攻击？

A：最有效的防护方法是禁用SSH密码认证，改用基于SSH密钥的认证，或将密码登录隐藏在VPN后面。同时需要实施SSH暴力破解速率限制，监控服务器访问，限制远程访问IP范围，并及时打补丁更新系统。

Q3：SSHStalker僵尸网络主要针对哪些Linux系统？

A：SSHStalker主要针对运行较旧Linux内核的服务器，包括版本2.6.18、2.6.18-164、2.6.31和2.6.37等。这些系统约占面向互联网Linux服务器的3%，在传统托管环境、废弃VPS和工业设备中比例可能达到10%。