一個(gè)新發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)正在通過暴力破解弱SSH密碼登錄認(rèn)證來攻陷防護(hù)不當(dāng)?shù)腖inux服務(wù)器。

發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)的加拿大Flare Systems研究人員進(jìn)入了其暫存服務(wù)器，發(fā)現(xiàn)截至1月底至少有7000臺(tái)服務(wù)器被攻陷，其中一半位于美國。

該僵尸網(wǎng)絡(luò)的武器庫包括針對(duì)未打補(bǔ)丁的Linux漏洞的攻擊代碼，這些漏洞最早可追溯到2009年。

研究人員將這個(gè)名為SSHStalker的僵尸網(wǎng)絡(luò)描述為"一個(gè)復(fù)雜的操作，將2009年時(shí)代的IRC僵尸網(wǎng)絡(luò)戰(zhàn)術(shù)與現(xiàn)代大規(guī)模攻陷自動(dòng)化技術(shù)相結(jié)合"。

它擁有一個(gè)"拼接而成的僵尸網(wǎng)絡(luò)工具包"，可執(zhí)行無文件惡意軟件、rootkit、日志清理器和各種內(nèi)核攻擊代碼。除其他功能外，它還會(huì)收集AWS憑據(jù)。

研究人員稱SSHStalker是一個(gè)"規(guī)模優(yōu)先的操作，更注重可靠性而非隱蔽性"。

然而，到目前為止，該僵尸網(wǎng)絡(luò)除了在受感染機(jī)器上維持持久性外，并未做太多其他事情。它具備發(fā)起DDoS攻擊和進(jìn)行加密貨幣挖礦的能力，但尚未采取任何行動(dòng)來將其訪問權(quán)限貨幣化。Flare表示，這表明操作者要么仍在構(gòu)建僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施，要么處于測(cè)試階段，或者是在為將來使用而保持訪問權(quán)限。

對(duì)于首席安全官們來說，好消息是根據(jù)Flare網(wǎng)絡(luò)安全研究員Assaf Morag的說法，目前有一種方法可以完全阻止這個(gè)特定的僵尸網(wǎng)絡(luò)：禁用對(duì)Linux機(jī)器的SSH密碼認(rèn)證，用基于SSH密鑰的認(rèn)證替換它，或者將密碼登錄隱藏在VPN后面。

這種改變應(yīng)該伴隨SSH暴力破解速率限制的實(shí)施、監(jiān)控試圖訪問互聯(lián)網(wǎng)連接Linux服務(wù)器的人員，以及將服務(wù)器遠(yuǎn)程訪問限制在特定IP范圍內(nèi)。

然而，Morag警告說，目前SSHStalker正在尋找SSH保護(hù)較弱的Linux服務(wù)器，但操作者隨時(shí)可能添加另一種攻擊向量，比如未打補(bǔ)丁的服務(wù)器漏洞或錯(cuò)誤配置。

安全基礎(chǔ)仍是關(guān)鍵

SANS研究所現(xiàn)場(chǎng)首席信息安全官兼人工智能安全副總裁Chris Cochran表示，SSHStalker提醒我們安全基礎(chǔ)仍然決定著戰(zhàn)斗的勝負(fù)。

"是的，人工智能正在改變威脅格局。是的，自動(dòng)化正在加速攻擊。但這次活動(dòng)證明了一些更簡單但更令人不安的事情：老伎倆仍然有效，"他說。"如果我今天與另一位首席信息安全官交談，我的建議不是'購買更多AI'。"

他說，首席安全官和信息安全領(lǐng)導(dǎo)者應(yīng)該利用這份報(bào)告作為借口，最終確定一些他們一直想要實(shí)施的安全基礎(chǔ)措施。這包括停止使用密碼登錄。"如果你在2026年仍然允許基于密碼的SSH訪問，你基本上就是在邀請(qǐng)僵尸網(wǎng)絡(luò)來喝咖啡，"Cochran說。

信息安全領(lǐng)導(dǎo)者應(yīng)該轉(zhuǎn)向基于密鑰的認(rèn)證，或者轉(zhuǎn)向具有短期憑據(jù)或身份感知代理的解決方案。

其次，他們需要積極盤點(diǎn)IT資產(chǎn)，遵循"你無法保護(hù)你不知道存在的東西"這一古老規(guī)則。

他說，被SSHStalker攻擊的數(shù)千個(gè)系統(tǒng)中的大多數(shù)都是被遺忘的服務(wù)器。

第三，信息安全領(lǐng)導(dǎo)者必須意識(shí)到他們環(huán)境中的真正問題是安全債務(wù)：未打補(bǔ)丁系統(tǒng)的積壓、持續(xù)存在的已知漏洞，以及"我們下個(gè)季度會(huì)處理"的積壓。

"這些就是被利用的地方，"他說。"在我們解決99%無聊的威脅之前，我們需要停止追逐1%酷炫的威脅。"

1Password全球咨詢首席信息安全官Dave Lewis補(bǔ)充說，信息安全領(lǐng)導(dǎo)者應(yīng)該確保生產(chǎn)服務(wù)器上沒有編譯器，構(gòu)建工具只在指定的構(gòu)建主機(jī)上。應(yīng)該對(duì)類似IRC的流量設(shè)置警報(bào)，在Linux服務(wù)器上進(jìn)行cron/systemd完整性監(jiān)控，特別是對(duì)"每分鐘運(yùn)行"的模式。

最后，由于SSHStalker尋找較舊的Linux機(jī)器，管理員應(yīng)該制定傳統(tǒng)Linux根除計(jì)劃，優(yōu)先斷開任何版本為Linux內(nèi)核2.6的機(jī)器，因?yàn)檫@些服務(wù)器正在被目標(biāo)攻擊。

攻擊機(jī)制分析

SSHStalker的發(fā)現(xiàn)源于Flare在今年年初創(chuàng)建的一個(gè)SSH蜜罐，故意使用弱憑據(jù)，看看會(huì)發(fā)生什么。雖然大多數(shù)攻擊來自已知威脅行為者，但有一個(gè)來自某個(gè)源的明顯集群，沒有類似的執(zhí)行流程或先前的攻陷指標(biāo)。

在進(jìn)入Linux機(jī)器后，惡意軟件會(huì)用自己的SSH密鑰創(chuàng)建后門以維持訪問權(quán)限。它還會(huì)安裝一個(gè)掃描22端口的二進(jìn)制文件，尋找具有無保護(hù)SSH的服務(wù)器，試圖找到其他新的易受攻擊服務(wù)器。有效載荷還包含幾個(gè)C腳本，包括用于編譯和運(yùn)行惡意軟件的Linux gcc。

Morag說，這個(gè)階段是"嘈雜的"，所以防御者應(yīng)該注意它可以被尋找異常服務(wù)器行為的應(yīng)用程序檢測(cè)到。

zip文件中的二級(jí)有效載荷包括用于與命令和控制服務(wù)器通信的IRC機(jī)器人。其他階段安裝在內(nèi)存中運(yùn)行的惡意軟件。

"整個(gè)執(zhí)行鏈非常嘈雜，"Morag說。"他們不需要做所有這些。我猜他們?cè)噲D在物聯(lián)網(wǎng)設(shè)備上運(yùn)行，但也在商業(yè)服務(wù)器上運(yùn)行。"

這也表明操作者仍處于構(gòu)建僵尸網(wǎng)絡(luò)的早期階段，他說。

但報(bào)告還說IRC組件可以用來隱藏活動(dòng)，比如包含隨機(jī)聊天短語。報(bào)告說："這強(qiáng)烈表明機(jī)器人不僅被配置用于控制，還用于行為偽裝"，通過在IRC頻道中生成類似人類的噪音來掩蓋真實(shí)操作者活動(dòng)，或使自動(dòng)化存在顯得有機(jī)。"這種戰(zhàn)術(shù)與傳統(tǒng)僵尸網(wǎng)絡(luò)操作技藝一致，混合到公共頻道中減少了懷疑，同時(shí)仍允許操作者通過私人消息、DCC會(huì)話或鏈接的機(jī)器人網(wǎng)絡(luò)發(fā)出命令，"報(bào)告說。

惡意軟件尋找較舊的Linux內(nèi)核，包括版本2.6.18、2.6.18-164、2.6.31和2.6.37。Flare估計(jì)這大約包括3%的面向互聯(lián)網(wǎng)的Linux服務(wù)器。

但在Flare稱為長尾環(huán)境（如傳統(tǒng)托管提供商、廢棄的VPS鏡像、過時(shí)的設(shè)備、工業(yè)/OT設(shè)備或小眾嵌入式部署）中，這個(gè)比例可能高達(dá)10%。

內(nèi)核攻擊代碼庫包括16個(gè)不同的CVE，其中5個(gè)可追溯到2009年，3個(gè)到2010年。從惡意軟件的組件來看，報(bào)告說，操作者可能了解內(nèi)核版本指紋識(shí)別、權(quán)限提升鏈和大規(guī)模利用工作流程，即使他們沒有開發(fā)新穎的攻擊代碼。

防護(hù)建議

除了禁用SSH密碼認(rèn)證外，報(bào)告建議信息安全領(lǐng)導(dǎo)者：

設(shè)置當(dāng)非系統(tǒng)進(jìn)程試圖修改登錄賬戶記錄時(shí)觸發(fā)的警報(bào)；

如果可能，從生產(chǎn)鏡像中移除編譯器；

僅在受控構(gòu)建環(huán)境中允許工具鏈執(zhí)行；

根據(jù)業(yè)務(wù)需要執(zhí)行出口過濾；

使用防病毒掃描器來捕獲SSHStalker丟棄的二進(jìn)制文件；

監(jiān)控gcc的未經(jīng)授權(quán)執(zhí)行；

設(shè)置當(dāng)編譯器從用戶目錄、/tmp或/dev/shm運(yùn)行時(shí)的警報(bào)；

設(shè)置當(dāng)新編譯的二進(jìn)制文件在創(chuàng)建后幾秒或幾分鐘內(nèi)執(zhí)行時(shí)的警報(bào)；

在服務(wù)器上設(shè)置警報(bào)以檢測(cè)與未知外部聊天或中繼基礎(chǔ)設(shè)施的通信。

Q&A

Q1：SSHStalker僵尸網(wǎng)絡(luò)是如何攻擊Linux服務(wù)器的？

A：SSHStalker通過暴力破解弱SSH密碼登錄認(rèn)證來攻陷防護(hù)不當(dāng)?shù)腖inux服務(wù)器。它會(huì)掃描22端口尋找具有無保護(hù)SSH的服務(wù)器，然后利用2009年以來的各種Linux內(nèi)核漏洞進(jìn)行攻擊。攻擊成功后，會(huì)創(chuàng)建后門并安裝各種惡意軟件組件。

Q2：如何防護(hù)SSHStalker僵尸網(wǎng)絡(luò)的攻擊？

A：最有效的防護(hù)方法是禁用SSH密碼認(rèn)證，改用基于SSH密鑰的認(rèn)證，或?qū)⒚艽a登錄隱藏在VPN后面。同時(shí)需要實(shí)施SSH暴力破解速率限制，監(jiān)控服務(wù)器訪問，限制遠(yuǎn)程訪問IP范圍，并及時(shí)打補(bǔ)丁更新系統(tǒng)。

Q3：SSHStalker僵尸網(wǎng)絡(luò)主要針對(duì)哪些Linux系統(tǒng)？

A：SSHStalker主要針對(duì)運(yùn)行較舊Linux內(nèi)核的服務(wù)器，包括版本2.6.18、2.6.18-164、2.6.31和2.6.37等。這些系統(tǒng)約占面向互聯(lián)網(wǎng)Linux服務(wù)器的3%，在傳統(tǒng)托管環(huán)境、廢棄VPS和工業(yè)設(shè)備中比例可能達(dá)到10%。