SSHStalker เป็นบอทเน็ต Linux ที่เพิ่งได้รับการบันทึกข้อมูลใหม่ โดยใช้โปรโตคอล IRC (Internet Relay Chat) แบบดั้งเดิมสำหรับการดำเนินการควบคุมและสั่งการ (Command-and-Control – C2) บอทเน็ตนี้เน้นความยืดหยุ่น การขยายขนาด และต้นทุนต่ำ ผ่านกลไก IRC แบบคลาสสิก รวมถึงบอทที่เขียนด้วยภาษา C และความซ้ำซ้อนของเซิร์ฟเวอร์/ช่องสัญญาณหลายรายการ แม้จะใช้เทคนิคเก่า แต่ก็มีการแพร่กระจายแบบหนอน (worm-like) โดยการสแกน SSH และ Brute Force เพื่อเป้าหมายในโครงสร้างพื้นฐานคลาวด์
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Linux
- บริการ SSH
- ผู้ให้บริการโฮสติ้งคลาวด์ (เช่น Oracle Cloud Infrastructure)
- ข้อมูลประจำตัวของ AWS (AWS keys)
- เว็บไซต์
- ระบบที่ใช้สำหรับ Cryptomining และ DDoS
Technical Attack Steps:
- ค้นหาเป้าหมายและเข้าถึงระบบเบื้องต้นผ่านการสแกน SSH และ Brute Force โดยใช้ Go binary ที่ปลอมตัวเป็น nmap
- เมื่อเข้าถึงได้แล้ว จะใช้โฮสต์ที่ถูกบุกรุกเพื่อสแกนหาเป้าหมาย SSH เพิ่มเติมเพื่อแพร่กระจายแบบหนอน (worm-like propagation)
- ดาวน์โหลดเครื่องมือ GCC เพื่อคอมไพล์เพย์โหลดบนอุปกรณ์ของเหยื่อ ซึ่งรวมถึง IRC bots ที่เขียนด้วยภาษา C
- บอทที่ติดเชื้อจะถูกลงทะเบียนในโครงสร้างพื้นฐาน IRC ของบอทเน็ต และจะดึงไฟล์เก็บถาวรชื่อ GS และ bootbou ซึ่งมีบอทเวอร์ชันสำหรับจัดการและเรียงลำดับการทำงาน
- สร้างการคงอยู่บนระบบ (Persistence) ผ่าน Cron jobs ที่ทำงานทุก 60 วินาที เพื่อตรวจสอบและเปิดใช้งานกระบวนการบอทหลักใหม่หากถูกปิด
- ยกระดับสิทธิ์ (Privilege Escalation) โดยใช้ช่องโหว่ CVEs เก่าๆ (อายุ 15 ปี) ของ Linux kernel จำนวน 16 รายการ
- ดำเนินการหารายได้โดยการเก็บรวบรวมคีย์ AWS, สแกนเว็บไซต์, และติดตั้งชุดเครื่องมือขุดคริปโต (เช่น PhoenixMiner สำหรับ Ethereum) นอกจากนี้ยังมีศักยภาพในการโจมตีแบบ DDoS
Recommendations:
Short Term:
- ติดตั้งโซลูชันการตรวจสอบการติดตั้งและการเรียกใช้งานคอมไพเลอร์บนเซิร์ฟเวอร์ที่ใช้งานจริง
- ตั้งค่าการแจ้งเตือนสำหรับการเชื่อมต่อขาออกสไตล์ IRC ที่ผิดปกติ
- ตั้งค่าการแจ้งเตือนสำหรับ Cron jobs ที่มีรอบการทำงานสั้นๆ จากพาธที่ไม่คุ้นเคย
- ปิดใช้งานการยืนยันตัวตนด้วยรหัสผ่าน SSH และเปลี่ยนไปใช้คีย์ SSH ที่รัดกุม
Long Term:
- ลบคอมไพเลอร์ออกจากอิมเมจของเซิร์ฟเวอร์ที่ใช้งานจริง (production images) เพื่อลดความสามารถในการคอมไพล์เพย์โหลดของมัลแวร์
- บังคับใช้การกรองขาออก (egress filtering) เพื่อควบคุมและจำกัดการเชื่อมต่อเครือข่ายที่ไม่ได้รับอนุญาต
- จำกัดการเรียกใช้งานโปรแกรมจากไดเรกทอรี ‘/dev/shm’ และพาธที่ไม่จำเป็นอื่นๆ
Share this content: