Майнинг, кража данных и никакого стелса. Ботнет, который ведёт себя как слон в посудной лавке
NewsMakerЗлоумышленники используют настолько старые трюки, что о них успели забыть даже администраторы.
Команда Flare обнаружила ранее не описанную ботнет сеть для Linux, получившую имя SSHStalker. Активность выявлена во время наблюдений за приманочным SSH сервером с ослабленной защитой. За два месяца специалисты зафиксировали серию вторжений, которые показали необычное сочетание старых IRC методов управления и современной автоматизации массового взлома.
В основе схемы лежит классическая IRC модель управления заражёнными узлами. Операторы используют несколько вариантов ботов на C, Perl и shell, а также известные семейства вредоносного кода наподобие Tsunami и Keiten. Управление строится через несколько серверов и каналов одновременно, что повышает устойчивость инфраструктуры и снижает зависимость от отдельных узлов. Вместо скрытности сделан упор на простоту и живучесть.
После подбора учётных данных по SSH на сервер загружается набор инструментов. Среди них сканер, замаскированный под nmap, но написанный на Go. Он ищет новые узлы с открытым портом 22 и расширяет заражение. Далее разворачивается цепочка файлов, которые компилируются прямо на атакованной машине через GCC. Такой подход позволяет подстраиваться под архитектуру и конфигурацию конкретной системы.
Механизм закрепления предельно шумный, но результативный — создаётся задание cron с запуском каждую минуту. Специальный скрипт проверяет наличие основного процесса и при остановке немедленно перезапускает его. Даже частичная очистка приводит лишь к кратковременному эффекту. Дополнительно применяются утилиты для подмены и очистки журналов входа, а также несколько модулей уровня rootkit.
Команда Flare обнаружила ранее не описанную ботнет сеть для Linux, получившую имя SSHStalker. Активность выявлена во время наблюдений за приманочным SSH сервером с ослабленной защитой. За два месяца специалисты зафиксировали серию вторжений, которые показали необычное сочетание старых IRC методов управления и современной автоматизации массового взлома.
В основе схемы лежит классическая IRC модель управления заражёнными узлами. Операторы используют несколько вариантов ботов на C, Perl и shell, а также известные семейства вредоносного кода наподобие Tsunami и Keiten. Управление строится через несколько серверов и каналов одновременно, что повышает устойчивость инфраструктуры и снижает зависимость от отдельных узлов. Вместо скрытности сделан упор на простоту и живучесть.
После подбора учётных данных по SSH на сервер загружается набор инструментов. Среди них сканер, замаскированный под nmap, но написанный на Go. Он ищет новые узлы с открытым портом 22 и расширяет заражение. Далее разворачивается цепочка файлов, которые компилируются прямо на атакованной машине через GCC. Такой подход позволяет подстраиваться под архитектуру и конфигурацию конкретной системы.
Механизм закрепления предельно шумный, но результативный — создаётся задание cron с запуском каждую минуту. Специальный скрипт проверяет наличие основного процесса и при остановке немедленно перезапускает его. Даже частичная очистка приводит лишь к кратковременному эффекту. Дополнительно применяются утилиты для подмены и очистки журналов входа, а также несколько модулей уровня rootkit.