SSHStalker 僵尸网络使用 IRC C2 通过旧版内核漏洞控制 Linux 系统

网络安全研究人员披露了一种名为 SSHStalker 的新型僵尸网络，该网络使用 Internet Relay Chat（IRC）通信协议进行指挥控制（C2）。

Flare 表示：“该工具集合将隐蔽的辅助程序与旧版 Linux 利用技术相结合：除了日志清理（utmp/wtmp/lastlog 篡改）和 rootkit 级别的产物外，攻击者还保留了大量针对 Linux 2.6.x 时代的漏洞（2009–2010 年的 CVE）。这些漏洞对现代堆栈价值不高，但对‘被遗忘’的基础设施和长期存在的旧环境仍然有效。”

SSHStalker 将 IRC 僵尸网络机制与自动化的大规模妥协操作相结合，使用 SSH 扫描器及其他常见扫描工具，将易受攻击的系统纳入网络并加入 IRC 频道。

然而，与通常利用此类僵尸网络进行分布式拒绝服务（DDoS）攻击、代理劫持或加密货币挖矿等机会主义行为不同，SSHStalker 被发现保持持久访问，却没有后续的后渗透行为。

这种潜伏行为使其与众不同，暗示被妥协的基础设施可能被用于阶段性测试、策略性访问保留或未来的使用。

SSHStalker 的核心组件是一个用 Go 编写的扫描器，扫描 22 端口以寻找开放 SSH 的服务器，以蠕虫式方式扩展其影响范围。同时投放了多个有效载荷，包括受 IRC 控制的机器人变体以及一个 Perl 脚本机器人，它连接到 UnrealIRCd IRC 服务器，加入控制频道并等待指令，以执行洪水式流量攻击并劫持机器人。

攻击还表现为执行 C 程序文件以清除 SSH 连接日志，抹除恶意活动痕迹，从而降低取证可见性。此外，恶意软件工具包包含一个“保持活跃”组件，确保主进程在被安全工具终止后 60 秒内重新启动。

SSHStalker 的显著之处在于将大规模妥协自动化与包含 16 种不同 Linux 内核漏洞的目录相结合，这些漏洞最早可追溯到 2009 年。使用的漏洞包括 CVE-2009-2692、CVE-2009-2698、CVE-2010-3849、CVE-2010-1173、CVE-2009-2267、CVE-2009-2908、CVE-2009-3547、CVE-2010-2959 和 CVE-2010-3437 等。

Flare 对与该威胁行为者相关的阶段性基础设施进行调查，发现了大量开源攻击工具和已公开的恶意软件样本，包括：

• 用于隐蔽和持久化的 rootkit
• 加密货币矿工
• 一个 Python 脚本，执行名为 “website grabber” 的二进制文件，以窃取目标网站上暴露的 Amazon Web Services（AWS）凭证
• EnergyMech，一款提供 C2 和远程命令执行能力的 IRC 机器人

据推测，幕后威胁行为者可能来自罗马尼亚，因为在 IRC 频道和配置字典中出现了“罗马尼亚式”的昵称、俚语模式和命名约定。此外，其作案指纹与已知黑客组织 Outlaw（又名 Dota）高度吻合。

Flare 说明：“SSHStalker 并未专注于新颖漏洞的开发，而是通过成熟的实现和编排展示了运营控制，核心机器人和底层组件主要使用 C 语言，编排和持久化使用 shell，少量 Python 和 Perl 仅用于工具或自动化任务。”

Flare 进一步指出：“该威胁行为者不开发零日或新型 rootkit，但在大规模妥协工作流、基础设施循环利用以及跨异构 Linux 环境的长期持久化方面展现出强大的运营纪律。”p>