Visszatér az IRC: MI-botnetek újraélesztik a hackerek kedvencét

A Linuxot támadó új botnet, az SSHStalker a régi, egyszerű IRC-protokollt használja, így megtakarítja a modern támadási infrastruktúrák költségeit. Az 1988-ban létrehozott, klasszikus IRC-chaten keresztül a vezérlés olcsó, megbízható és rejtve marad a támadók számára, ráadásul a botnet felépítését több csatorna és szerver között osztották el, így az irányítás is redundáns.

Fertőzés és terjedés a felhőben

Az első behatolás automatizált SSH-feltörési kísérletekkel indul. A támadó egy Go-alapú, Nmapnek álcázott binárissal férkőzik be célszerverekre, majd az áldozat gépére letölti a GCC-fordítót, hogy az egyedi, C nyelvű IRC-bot futtatható legyen bármennyi különböző Linux-változaton. Egy feltört gép azonnal elkezdi keresni az újabb áldozatokat, így a terjedés féregszerű. Az elmúlt hónapban csaknem 7000 ilyen botvizsgálatot jegyeztek fel, főként felhőalapú infrastruktúrák (például Oracle Cloud) ellen.

Trükkös perzisztencia és támadási eszköztár

A botnet a hoszt gépen percenként futtatott cronfeladatot állít be: ez ellenőrzi, él-e a bot, és ha leállítják, újraindítja. További, 2009–2010 közötti Linux-kernel-sebezhetőségeket is kihasznál, így rootjogosultságot is szerezhet a gépeken. A botnet nemcsak kulcsokat lop AWS-felhőkből, hanem weboldalakat is szkennel és titokban kriptót (Ethereumot) bányászik PhoenixMinerrel.

Védekezési lehetőségek

A védelemhez érdemes letiltani az SSH-jelszavas autentikációt, eltávolítani a fordítókat az éles környezetből, és korlátozni a kimenő hálózati kapcsolatokat. Az erős jelszavak, jól kezelt kulcsok, illetve az IRC-forgalom és a szokatlan crontevékenység figyelése szintén csökkentik a kitettséget a régi, de annál veszélyesebb támadásokkal szemben.

2025, adrienne, www.techradar.com alapján

Share on Social Media