- يستخدم SSHStalker قنوات IRC وروبوتات متعددة للتحكم في مضيفي Linux المصابين
- يعمل التأثير الغاشم لـ SSH الآلي على نشر شبكة الروبوتات بسرعة من خلال البنية التحتية للخادم السحابي
- يتم تنزيل المترجمين محليًا لإنشاء الحمولات من أجل تنفيذ التوزيع المتبادل بشكل موثوق
من الواضح أن SSHStalker، وهي شبكة روبوت Linux تم اكتشافها مؤخرًا، تعتمد على بروتوكول IRC (Internet Relay Chat) الكلاسيكي لإدارة عملياتها.
تم إنشاء IRC في عام 1988، وكان ذات يوم نظام المراسلة الفورية المهيمن للمجتمعات التقنية نظرًا لبساطته، واحتياجاته المنخفضة من النطاق الترددي، والتوافق عبر الأنظمة الأساسية.
على عكس أطر القيادة والتحكم الحديثة، يستخدم SSHStalker روبوتات متعددة وقنوات زائدة وخوادم للحفاظ على التحكم في الأجهزة المصابة مع الحفاظ على انخفاض تكاليف التشغيل.
بنية الروبوتات والبنية التحتية للأوامر
تحقق البرامج الضارة الخاصة بـ SSHStalker إمكانية الوصول الأولي من خلال فحص SSH الآلي وهجمات القوة الغاشمة، ثم تستخدم برنامجًا ثنائيًا قائمًا على Go متخفيًا في هيئة أداة الشبكة مفتوحة المصدر nmap للتسلل إلى الخوادم.
قام باحثون من شركة Flare الأمنية بتوثيق ما يقرب من 7000 نتيجة لمسح الروبوتات في شهر واحد، والتي تستهدف بشكل أساسي البنية التحتية السحابية، بما في ذلك بيئات Oracle Cloud.
بمجرد اختراق المضيف، يصبح جزءًا من آلية نشر الروبوتات، حيث يقوم بمسح الخوادم الأخرى بنمط يشبه الدودة.
بعد الإصابة، يقوم SSHStalker بتنزيل مترجم مجلس التعاون الخليجي لبناء الحمولات مباشرة على النظام المخترق، مما يضمن إمكانية تشغيل روبوتات IRC المستندة إلى لغة C بشكل موثوق عبر توزيعات Linux المختلفة.
تحتوي هذه الروبوتات على خوادم وقنوات ذات ترميز ثابت تقوم بتسجيل المضيف في شبكة الروبوتات التي يتحكم فيها IRC.
توفر الحمولات الإضافية المسماة GS وbootbou التنسيق وتسلسل التنفيذ، مما يؤدي بشكل فعال إلى إنشاء شبكة قابلة للتطوير من الأجهزة المصابة تحت سيطرة IRC المركزية.
يتم الحفاظ على الثبات على كل مضيف من خلال وظائف cron التي تم تعيينها للتشغيل كل دقيقة، والتي تراقب عملية الروبوت الرئيسية وتعيد تشغيلها في حالة إنهائها، مما يؤدي إلى إنشاء حلقة تغذية مرتدة ثابتة.
تستفيد شبكة الروبوتات أيضًا من عمليات استغلال 16 مشكلة CVE قديمة في Linux kernel يعود تاريخها إلى الفترة من 2009 إلى 2010، وتستخدمها لتصعيد الامتيازات بمجرد اختراق حساب مستخدم منخفض الامتيازات.
وبعيدًا عن التحكم الأساسي، يحتوي SSHStalker على آليات مدمجة لتحقيق الدخل، حيث تقوم البرامج الضارة بحصد مفاتيح AWS، وإجراء مسح لموقع الويب، وتتضمن إمكانات التعدين عبر PhoenixMiner لتعدين Ethereum.
على الرغم من وجود قدرات DDoS، إلا أن Flare لم يلاحظ أي هجمات، مما يشير إلى أن شبكة الروبوتات إما في مرحلة الاختبار أو اكتناز الوصول.
تؤكد الاستراتيجيات الدفاعية ضد SSHStalker على مراقبة عمليات تثبيت المترجم، ونشاط cron غير المعتاد، والاتصالات الصادرة على نمط IRC.
يُنصح المسؤولون بتعطيل مصادقة كلمة مرور SSH، وإزالة المترجمين من بيئات الإنتاج، وفرض تصفية خروج صارمة.
يمكن أن يؤدي الحفاظ على حلول قوية لمكافحة الفيروسات واستخدام بروتوكولات جدار الحماية الجيدة إلى تقليل التعرض لهذه التهديدات وغيرها من التهديدات ذات النمط القديم.
عبر BleepingComputer
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات