- SSHStalker utiliza canales IRC y varios bots para controlar los hosts Linux infectados
- La fuerza bruta SSH automatizada propaga rápidamente la botnet a través de infraestructuras de servidores en la nube
- Los compiladores se descargan localmente para crear cargas útiles para una ejecución confiable en todas las distribuciones.
SSHStalker, un recientemente descubierto linux botnet, aparentemente se basa en el protocolo clásico IRC (Internet Relay Chat) para gestionar sus operaciones.
Creado en 1988, IRC fue alguna vez el sistema de mensajería instantánea dominante para las comunidades técnicas debido a su simplicidad, bajos requisitos de ancho de banda y compatibilidad multiplataforma.
A diferencia de las estructuras modernas de comando y control, SSHStalker utiliza múltiples bots, canales redundantes y servidores para mantener el control sobre los dispositivos infectados y al mismo tiempo mantener bajos los costos operativos.
Estructura de botnet e infraestructura de comando
SSHStalker malware obtiene acceso inicial a través de escaneo SSH automatizado y ataques de fuerza bruta, luego usa un binario basado en Go disfrazado de la herramienta de red de código abierto nmap para infiltrarse en los servidores.
Los investigadores de la empresa de seguridad Flare documentaron casi 7.000 resultados de análisis de bots en un solo mes, principalmente dirigidos a la infraestructura de la nube, incluidos los entornos de Oracle Cloud.
Una vez que un host se ve comprometido, se convierte en parte del mecanismo de propagación de la botnet, escaneando otros servidores en un patrón similar a un gusano.
Después de la infección, SSHStalker descarga el compilador GCC para crear cargas útiles directamente en el sistema comprometido, lo que garantiza que sus bots IRC basados en C puedan ejecutarse de manera confiable en diferentes distribuciones de Linux.
Estos bots contienen servidores y canales cifrados que suscriben el host a la botnet controlada por IRC.
Cargas útiles adicionales llamadas GS y bootbou proporcionan orquestación y secuenciación de la ejecución, creando de manera efectiva una red escalable de máquinas infectadas bajo control IRC centralizado.
La persistencia en cada host se mantiene a través de trabajos cron configurados para ejecutarse cada minuto, que monitorean el proceso principal del bot y lo reinician si finaliza, creando un ciclo de retroalimentación constante.
La botnet también aprovecha exploits para 16 CVE antiguos del kernel de Linux que datan de 2009 a 2010, utilizándolos para escalar privilegios cuando una cuenta de usuario con pocos privilegios se ve comprometida.
Además del control básico, SSHStalker tiene mecanismos de monetización integrados, ya que el malware recopila claves de AWS, realiza escaneos de sitios web e incluye capacidades de criptominería a través de PhoenixMiner para la minería de Ethereum.
Si bien existen capacidades DDoS, Flare no ha observado ningún ataque, lo que sugiere que la botnet está probando o acumulando acceso.
Las estrategias defensivas contra SSHStalker enfatizan el monitoreo de las instalaciones del compilador, la actividad cron inusual y las conexiones salientes estilo IRC.
Se recomienda a los administradores que deshabiliten la autenticación de contraseña SSH, eliminen los compiladores de los entornos de producción y apliquen un filtrado de salida estricto.
mantente fuerte soluciones antivirus y usando el bien cortafuegos Los protocolos pueden reducir la exposición a esta y otras amenazas de estilo heredado.
A través de PitidoEquipo
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrese de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
