研究者らが、コマンド&コントロール操作に時代遅れのIRCプロトコルに依存する新しいLinuxボットネットSSHStalkerを発見した。このボットネットはSSHスキャンとブルートフォースで拡散し、クラウドインフラを標的にする。古い脆弱性と永続化メカニズムを組み込み、広範な感染を実現している。
脅威インテリジェンス企業Flareが文書化したSSHStalkerボットネットは、1988年に開発され、1990年代にテキストベースのメッセージングで人気を博したInternet Relay Chat (IRC)プロトコルを使用して動作する。この選択は、Cベースの複数のボットや冗長なサーバー・チャネルによるシンプルさ、低帯域幅、耐久性を強調し、先進的なステルス技術ではなくしている。初期感染は、nmapネットワークスキャナを装ったGoベースのツールにより発生し、騒々しいSSHスキャンとブルートフォース攻撃を実行する。ホスト内部に入ると、マルウェアは侵害されたシステムを使用してさらなるターゲットをスキャンし、ワームのような伝播を可能にする。Flareは1月に実施された約7,000件のスキャン結果を含むファイルを分析し、主にOracle Cloudインフラを標的にしていた。アクセス獲得後、SSHStalkerは被害マシン上で直接ペイロードを構築するためGCCコンパイラをダウンロードし、ポータビリティを向上させる。次に、事前定義されたコマンド&コントロールサーバーとチャネルを持つCコードのIRCボットを展開し、ホストをネットワークに統合する。GSおよびbootbouという名前のアーカイブからの追加コンポーネントがオーケストレーションを処理する。永続性は60秒ごとに実行されるcronジョブにより維持され、主プロセスの終了時に再起動するwatchdogとして機能する。権限昇格のため、ボットネットは初期低権限侵入後に2009-2010年のLinuxカーネルから16の一般的な脆弱性とエクスプロイト(CVEs)を悪用する。収益化機能にはAWSキーの収穫、ウェブサイトスキャン、Ethereum暗号通貨マイニングのためのPhoenixMiner展開が含まれる。DDoSツールは組み込まれているが未使用;ボットは通常C2サーバーに接続して待機状態となり、テストやリソース蓄積を示唆する。FlareはOutlaw/Maxlasボットネットファミリーやルーマニア関連の指標との類似性を指摘するが、特定グループとの関連は確認していない。対処のため、コンパイラ活動、IRC発信トラフィック、頻繁なcronジョブの監視を推奨する。防御策として、SSHパスワードログインの無効化、本番環境からのコンパイラ除去、送信フィルタ適用、/dev/shmでの実行ブロックを挙げる。
