Ботнет SSHStalker проникает на 7 000 Linux-машин с помощью brute-force

Недавно обнаруженный ботнет компрометирует плохо защищенные Linux-серверы путем перебора слабых паролей для входа по SSH.

Исследователи из канадской компании Flare Systems, обнаружившие ботнет, получили доступ к его промежуточному серверу и полагают, что к концу января было скомпрометировано не менее 7000 серверов, половина из которых — в США.

Среди «оружия» ботнета — эксплойты для необновленных уязвимостей Linux, датируемых 2009 годом.

Исследователи описывают ботнет под названием SSHStalker как «сложную операцию, сочетающую тактику IRC-ботнетов эпохи 2009 года с современной автоматизацией массовой компрометации».

Он имеет «сшитый» набор для ботнета, который выполняет беcфайловый вредоносный код, руткиты, очистители логов и широкий спектр эксплойтов ядра. Среди прочего, он собирает учетные данные AWS.

Исследователи называют SSHStalker «операцией, ориентированной на масштабирование, которая ставит надежность выше скрытности».

Однако на данный момент ботнет не сделал ничего, кроме поддержания персистентности на зараженных машинах. Он способен запускать DDoS-атаки (распределенный отказ в обслуживании) и заниматься майнингом криптовалют, но пока не монетизировал свой доступ. Flare утверждает, что это говорит либо о том, что оператор все еще разворачивает инфраструктуру ботнета, находится на этапе тестирования, либо сохраняет доступ для будущего использования.

Хорошая новость для CISO, по словам исследователя в области кибербезопасности Flare Ассафа Морага, заключается в том, что на данном этапе есть один способ остановить этот конкретный ботнет: отключить аутентификацию по паролю SSH на Linux-машинах и заменить ее аутентификацией на основе SSH-ключей или скрыть входы по паролю за VPN.

Это изменение должно сопровождаться внедрением ограничения скорости перебора SSH-атак, мониторингом тех, кто пытается получить доступ к подключенным к Интернету Linux-серверам, и ограничением удаленного доступа к серверам определенными диапазонами IP-адресов.

Однако Мораг предупредил, что сейчас SSHStalker ищет Linux-серверы со слабой защитой SSH, но в любой момент оператор может добавить другой вектор атаки, такой как необновленная уязвимость сервера или неправильная конфигурация.

Основы безопасности — ключ к успеху

Крис Кокран, полевой CISO Института SANS и вице-президент по безопасности ИИ, заявил, что SSHStalker — это напоминание о том, что основы безопасности по-прежнему решают исход борьбы.

«Да, ИИ меняет ландшафт угроз. Да, автоматизация ускоряет атаки. Но эта кампания доказывает нечто более простое и неудобное: старые трюки все еще работают», — сказал он. «Если я разговариваю с другим CISO сегодня, мой совет — не «покупайте больше ИИ»».

По его словам, CISO и руководители в области информационной безопасности должны использовать этот отчет как повод наконец-то внедрить некоторые из тех базовых принципов безопасности, которые они всегда хотели реализовать. К ним относится отказ от использования паролей для входа. «Если вы все еще разрешаете доступ по паролю SSH в 2026 году, вы, по сути, приглашаете ботнеты на кофе», — сказал Кокран.

Руководители в области информационной безопасности должны либо перейти на аутентификацию по ключам, либо использовать решения с кратковременными учетными данными или прокси с учетом идентификации.

Во-вторых, им необходимо провести агрессивную инвентаризацию своих ИТ-активов, учитывая старое правило: «Вы не можете защитить то, о существовании чего не знаете».

Большинство из тысяч систем, пострадавших от SSHStalker, были забытыми серверами, сказал он.

В-третьих, руководители в области информационной безопасности должны осознать, что реальная проблема в их средах — это долг безопасности: отставание с установкой исправлений для систем, сохраняющиеся известные уязвимости и отложенные задачи «сделаем в следующем квартале».

«Вот что эксплуатируется», — сказал он. «Нам нужно перестать гоняться за 1% крутых угроз, пока мы не решим 99% скучных».

Дэйв Льюис, глобальный консультант CISO в 1Password, добавил, что руководители в области информационной безопасности должны убедиться в отсутствии компиляторов на производственных серверах, а инструменты сборки должны находиться только на выделенных хостах сборки. Должны быть оповещения о трафике, похожем на IRC, и, на Linux-серверах, мониторинг целостности cron/systemd, особенно для шаблонов «запускается каждую минуту».

Наконец, поскольку SSHStalker ищет старые Linux-машины, администраторы должны иметь план по искоренению устаревших Linux, отдавая приоритет отключению машин с любой версией ядра Linux 2.6, поскольку эти серверы подвергаются атакам.

Как это было обнаружено

Обнаружение SSHStalker произошло после того, как Flare в начале этого года создала «медовую ловушку» SSH с намеренно слабыми учетными данными, чтобы посмотреть, что произойдет. В то время как большинство атак исходило от известных злоумышленников, была выделена группа из одного источника с отличным от других потоком выполнения или предыдущими индикаторами компрометации.

Получив доступ к Linux-машине, вредоносный код создает бэкдор с собственным SSH-ключом для поддержания доступа. Он также устанавливает бинарный файл, который сканирует порт 22 на предмет серверов с незащищенным SSH, пытаясь найти другие новые и уязвимые серверы. Полезная нагрузка также содержит несколько C-скриптов, включая Linux gcc (GNU Compiler Collection) для компиляции и запуска вредоносного ПО.

Этот этап «шумный», сказал Мораг, поэтому защитникам следует отметить, что его можно обнаружить с помощью приложения, которое ищет аномальное поведение сервера.

Вторичные полезные нагрузки в zip-архиве включают IRC-бот (Internet Relay Chat) для связи с командным сервером. Другие этапы устанавливают вредоносное ПО, работающее в памяти.

«Вся эта цепочка выполнения очень шумная», — сказал Мораг. «Им не нужно делать все это. Я предполагаю, что они пытаются работать на устройствах Интернета вещей [IoT], а также на коммерческих серверах».

Это также предполагает, что оператор все еще находится на ранней стадии создания ботнета, сказал он.

Однако в отчете также говорится, что IRC-компоненты могут использоваться для сокрытия активности, в том числе с помощью включенных случайных фраз чата. «Это убедительно свидетельствует о том, что бот был настроен не только для управления, но и для маскировки поведения», — говорится в отчете, путем генерации человекоподобного шума в IRC-каналах для сокрытия реальной активности оператора или для того, чтобы автоматизированное присутствие выглядело естественным. «Эта тактика соответствует устаревшим методам работы ботнетов, когда смешивание в публичных каналах снижало подозрения, позволяя операторам выдавать команды через личные сообщения, сеансы DCC (direct client-to client) или связанные сети ботов», — говорится в отчете.

Вредоносный код ищет старые ядра Linux, включая версии 2.6.18, 2.6.18-164, 2.6.31 и 2.6.37. По оценкам Flare, это включает примерно 3% Linux-серверов, доступных из Интернета.

Но в так называемых «длиннохвостых» средах, таких как устаревшие хостинг-провайдеры, заброшенные образы VPS, устаревшие устройства, промышленное/OT-оборудование или нишевые встраиваемые решения, их может быть до 10%.

Инвентаризация эксплойтов ядра включает 16 различных CVE, пять из которых датируются 2009 годом, а три — 2010 годом. Судя по компонентам вредоносного ПО, оператор, вероятно, понимает методы определения версий ядра, цепочки повышения привилегий и рабочие процессы массовой эксплуатации, даже если он не разрабатывает новые эксплойты, говорится в отчете.

Советы для руководителей в области информационной безопасности

Помимо отключения аутентификации по паролю SSH, в отчете рекомендуется руководителям в области информационной безопасности:

• настроить оповещения, срабатывающие при попытке несистемных процессов изменить записи учета входа;
• по возможности удалить компиляторы из производственных образов;
• разрешить выполнение цепочек инструментов только в контролируемых средах сборки;
• обеспечить фильтрацию исходящего трафика на основе бизнес-потребностей;
• использовать антивирусный сканер для обнаружения бинарных файлов, сбрасываемых SSHStalker;
• отслеживать несанкционированное выполнение gcc;
• настроить оповещения при запуске компиляторов из пользовательских каталогов, /tmp или /dev/shm;
• настроить оповещения на серверах для обнаружения связи с неизвестной внешней инфраструктурой чата или ретрансляции.