- SSHStalker menggunakan saluran IRC dan beberapa bot untuk mengontrol host Linux yang terinfeksi
- Pemaksaan SSH otomatis dengan cepat menyebarkan botnet melalui infrastruktur server cloud
- Kompiler diunduh secara lokal untuk membangun muatan guna eksekusi lintas distribusi yang andal
SSHStalker, yang baru ditemukan Linux botnet, tampaknya mengandalkan protokol klasik IRC (Internet Relay Chat) untuk mengelola operasinya.
Dibuat pada tahun 1988, IRC pernah menjadi sistem pesan instan yang dominan untuk komunitas teknis karena kesederhanaannya, kebutuhan bandwidth yang rendah, dan kompatibilitas lintas platform.
Tidak seperti kerangka perintah dan kontrol modern, SSHStalker menggunakan banyak bot, saluran redundan, dan server untuk mempertahankan kendali atas perangkat yang terinfeksi sekaligus menjaga biaya operasional tetap rendah.
Struktur botnet dan infrastruktur komando
SSH Stalker perangkat lunak perusak mencapai akses awal melalui pemindaian SSH otomatis dan serangan brute force, dan kemudian menggunakan biner berbasis Go yang disamarkan sebagai alat jaringan sumber terbuka nmap untuk menyusup ke server.
Para peneliti dari perusahaan keamanan Flare mendokumentasikan hampir 7.000 hasil pemindaian bot dalam satu bulan, terutama menargetkan infrastruktur cloud, termasuk lingkungan Oracle Cloud.
Setelah sebuah host disusupi, ia menjadi bagian dari mekanisme propagasi botnet, memindai server lain dalam pola seperti worm.
Setelah infeksi, SSHStalker mengunduh kompiler GCC untuk membangun muatan langsung pada sistem yang disusupi, yang memastikan bot IRC berbasis C dapat berjalan dengan andal di berbagai distribusi Linux.
Bot ini berisi server dan saluran berkode keras yang mendaftarkan host ke botnet yang dikontrol IRC.
Payload tambahan bernama GS dan bootbou menyediakan orkestrasi dan pengurutan eksekusi, yang secara efektif menciptakan jaringan mesin yang terinfeksi yang dapat diskalakan di bawah kendali IRC terpusat.
Kegigihan pada setiap host dipertahankan melalui tugas cron yang diatur untuk dijalankan setiap menit, yang memantau proses bot utama dan meluncurkannya kembali jika dihentikan, sehingga menciptakan putaran umpan balik yang konstan.
Botnet juga memanfaatkan eksploitasi untuk 16 CVE kernel Linux lama sejak tahun 2009 hingga 2010, menggunakannya untuk meningkatkan hak istimewa setelah akun pengguna dengan hak istimewa rendah disusupi.
Di luar kontrol dasar, SSHStalker memiliki mekanisme monetisasi bawaan, saat malware mengambil kunci AWS, melakukan pemindaian situs web, dan menyertakan kemampuan penambangan kripto melalui PhoenixMiner untuk penambangan Ethereum.
Meskipun kemampuan DDoS ada, Flare belum mengamati serangan apa pun, yang menunjukkan bahwa botnet sedang menguji atau menimbun akses.
Strategi pertahanan terhadap SSHStalker menekankan pada pemantauan instalasi kompiler, aktivitas cron yang tidak biasa, dan koneksi keluar gaya IRC.
Administrator disarankan untuk menonaktifkan otentikasi kata sandi SSH, menghapus kompiler dari lingkungan produksi, dan menerapkan pemfilteran jalan keluar yang ketat.
Mempertahankan kuat solusi antivirus dan menggunakan yang baik firewall protokol dapat mengurangi paparan terhadap ancaman ini dan ancaman lama lainnya.
Melalui BleepingComputer
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
