Cybersecurity scheint manchmal wie eine temporäre Schleife: Techniken und Protokolle, die in die Vergangenheit zurückversetzt schienen, erscheinen wieder mit neuen Opfern. Das ist genau der Fall des neu dokumentierten Botnets, das Forscher getauft haben, als SSHStalker, eine bösartige Infrastruktur für Linux, die auf einem Klassiker der Internet-Kommunikation ruht: IRC, der veteran Internet Relay Chat.
IRC wurde in den späten 1980er Jahren geboren und während der 1990er Jahre war die dominante Form der Textnachrichten für private Gruppen und Gespräche. Auch heute schätzen technische Gemeinschaften ihre Einfachheit, Interoperabilität und geringen Bandbreitenverbrauch - Merkmale, die paradoxerweise auch für Malwarts-Betreiber attraktiv machen, die in ihren Kontrollkanälen Robustheit und geringe Kosten suchen. Um das Protokoll in seiner ursprünglichen Form zu verstehen, siehe das historische Dokument. RFC 1459 und einen Überblick Wikipedia.
Die Analyse des Flare-Intelligenten-Teams zeigt, dass SSHStalker nicht in der Stealthtechnik innovativ sein soll, sondern dass es sich um Skalierbarkeit und Widerstand handelt. Anstelle moderner C2-Frameworks setzt Malware mehrere C-geschriebene Bots ein, setzt auf redundante IRC-Server und -Kanäle und nutzt laute Strategien wie massive SSH-Scans und programmierte Aufgaben jede Minute, um Präsenz zu erhalten. Die Einzelheiten des Berichts sind in der von Flare veröffentlichten Analyse verfügbar. Hier..
Die Infektionskette beginnt mit einer in Go geschriebenen Binärkette, die das nmap-Netzwerk-Erkennungswerkzeug durchläuft; diese Supplantierung erleichtert es der Probe, zunächst in Umgebungen, in denen nmap üblich ist, unbemerkt zu passieren. Nachdem das angreifende Team durch die SSH Zugriff auf brutale Gewalt erlangte, nutzt das angreifende Team die engagierten Teams, um weitere Server zu erkunden und zu kompromieren, ein Verhalten, das an die Dynamik eines Wurms erinnert. Für diejenigen, die vergleichen möchten, dient die offizielle nmap-Seite als Referenz für legitimes Dienstprogramm: Das ist nicht möglich..
Einmal im Inneren, SSHStalker herunterladen Compilation Tools - insbesondere GCC - Ihre Binaries direkt in den infizierten Host zu kompilieren. Diese Technik bietet Portabilität zwischen Architekturen und kann helfen, einige Signatur-basierte Verteidigungen zu umgehen. Die ersten Binaries, die es einsetzt, sind IRC C Bots, mit verschlüsselten C2-Servern und -Kanälen, und zwingt dann den Download von zusätzlichen Paketen (im Fund als GS und Bootbou genannt), die Bot-Varianten für die Orchestrierung und Aufgabenausführung enthalten.
Um in den kompromittierten Systemen zu bestehen, verwendet das Botnet Cron Jobs, die alle 60 Sekunden laufen. Dieser Mechanismus wirkt als Wachmann: er prüft, ob der Hauptprozess aktiv ist und reagiert, wenn er abgeschlossen ist. Parallel dazu umfasst das Set Exploit-Kits, die die Schwachstellen des Linux-Kernels der Periode 2009-2010 nutzen, um Privilegien zu skalieren, wenn die anfängliche Intrusion nur Zugriff als Low-Confidence-Benutzer erhält. Die NIST-Datenbank (NVD) ist eine gute Ressource, um Details zu historischen Schwachstellen zu konsultieren: nvd.nist.gov.
In Bezug auf Monetarisierung und operative Fähigkeiten, Flare erkannt Hare von Anmeldeinformationen und AWS Schlüssel, Web-Scans und die Anwesenheit von kryptisierenden Kits - einschließlich Werkzeuge für ihre Leistung in Ethedium bekannt - sowie Module für DDoS-Angriffe. Die Forscher weisen jedoch darauf hin, dass die Bots bisher mit dem C2 verbunden sind und einen weitgehend inaktiven Zustand einführen, was darauf hindeutet, dass die Betreiber Infrastruktur testen oder Zugriffe ansammeln könnten, bevor sie in schädliche Verwendung setzen.
In der von Flare untersuchten Telemetrie werden Scans meist an Cloud-Lieferanten gerichtet, mit einer sichtbaren Konzentration in der Oracle Cloud-Infrastruktur. Das Team hat die Arbeit nicht abschließend einem bestimmten Schauspieler zugeschrieben, obwohl es technische Ähnlichkeiten mit früheren Botnet-Ökosystemen und einigen Indikatoren mit möglichen geographischen Verbindungen feststellt.
Angesichts dieser Bedrohungen zielen praktische Empfehlungen darauf ab, die Kosten des Eindringens zu erhöhen und den nutzbaren Bereich zu reduzieren. Die von den Spezialisten empfohlenen Maßnahmen umfassen die Deaktivierung der Passwort-Authentifizierung in SSH und die Verwendung von öffentlichen Schlüsseln, die Entfernung von Compilern und Produktionsbild-Entwicklungstools, um die Erstellung vor Ort zu verhindern, den Verkehr zu blockieren C2-Verbindungen (einschließlich IRC-Muster) und die Einschränkung der Ausführung von Räumen wie / dev / shm. Darüber hinaus ist es angebracht, Nachweise zu erstellen, die auf Installationen oder Ausführungen von Compilern auf produktiven Servern und auf Cron-Jobs mit sehr kurzen Kadenzen, die auf ungewöhnlichen Routen erstellt wurden, aufmerksam machen.
Praktische und offizielle SSH-Härteführer sind in technischen Referenzressourcen und OpenSSH-Handbüchern erhältlich: OpenSSH Handbuch und Lehrartikel von Infrastrukturanbietern, die die Konfiguration von Schlüsselauthentifizierung und anderen Maßnahmen, beispielsweise in DigitalOcean, detailliert beschreiben: Wie man SSH-Tasten einstellt. Für Netzwerk- und Output-Filtering-Richtlinien finden sich Sicherheitskontrollempfehlungen oft in Organisationen wie dem Center for Internet Security (CIS) und in Cloud-Anbieter-Dokumentation.
SSHStalker ist eine Erinnerung, die nicht immer den gewinnt, der technologisch mehr innovativ ist, sondern ein bewährtes Rezept optimiert: einfache Werkzeuge, Lichtcodierung, Redundanz und Massenautomatisierung. Für Sicherheitsmanager und Geräte ist die Lektion doppelt: einerseits, um die Grundhygiene von Zugriffs- und Produktionsbildern zu kümmern; andererseits, um Erkennungen zu implementieren, die auf Muster, die zuvor als "Geheimnis" betrachtet wurden - cron jede Minute, Compiler erscheinen auf Servern, ausgehende Verbindungen zu Häfen und IRC-Mustern - weil dieses Geräusch heute möglicherweise das Signal eines Botnet, das Ihre Armee baut.
Wenn Sie die technischen Erkenntnisse und die analysierten Proben vertiefen möchten, bietet der Bericht Flare eine detaillierte Aufschlüsselung mit Indikatoren für Erkennung und Antwort: Alte Schule IRC, neue Opfer - Flare.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...