Um botnet para Linux recentemente documentado, chamado SSHStalker, utiliza o protocolo IRC (Internet Relay Chat) para comunicação e controle (C2).
Criado em 1988, o IRC teve seu auge na década de 1990, consolidando-se como a principal solução de mensagens instantâneas baseadas em texto para comunicação em grupos e conversas privadas.
Ainda hoje, comunidades técnicas valorizam o IRC pela simplicidade de implementação, interoperabilidade, baixo consumo de banda e ausência da necessidade de interface gráfica.
O botnet SSHStalker aposta na mecânica tradicional do IRC, empregando diversos bots desenvolvidos em C e adotando redundância multi-servidor e múltiplos canais, em vez de usar frameworks modernos de C2.
Essa abordagem prioriza escalabilidade, resiliência e baixo custo, deixando de lado aspectos como furtividade e inovação técnica.
Pesquisadores da empresa de inteligência em ameaças Flare destacam que essa filosofia permeia outras características da operação do SSHStalker, como varreduras SSH ruidosas, execução de tarefas cron a cada minuto e uso de um vasto conjunto de vulnerabilidades (CVEs) com mais de 15 anos.
“Encontramos um botnet ruidoso e montado de forma improvisada, que mistura controle via IRC tradicional, compilação de binários diretamente nas máquinas infectadas, comprometimento em massa via SSH e persistência por meio de tarefas cron.
Em outras palavras, uma operação que prioriza escala e confiabilidade em vez de furtividade”, explica a Flare.
O acesso inicial é obtido por meio de varredura automatizada e brute force em SSH, utilizando um binário desenvolvido em Go que se disfarça como a popular ferramenta open source de descoberta de redes nmap.
Os sistemas comprometidos passam a escanear novos alvos SSH, configurando um método de propagação semelhante ao de worms.
A Flare analisou dados de quase 7.000 varreduras realizadas em janeiro, com foco predominante em provedores de hospedagem em nuvem, especialmente na infraestrutura da Oracle Cloud.
Após infectar uma máquina, o SSHStalker baixa o compilador GCC para construir seus payloads localmente, aumentando a portabilidade e a capacidade de evasão.
Os primeiros arquivos são bots IRC em C, com servidores C2 e canais codificados, incorporando a nova vítima à estrutura do botnet.
O malware também busca arquivos chamados GS e bootbou, que contêm variantes de bots responsáveis pela orquestração e sequência de execução.
A persistência é garantida por meio de tarefas cron que rodam a cada 60 segundos, acionando um mecanismo similar a um “watchdog” que verifica se o processo principal do bot está ativo e o reinicia caso tenha sido encerrado.
Além disso, o botnet explora 16 vulnerabilidades do kernel Linux, datadas de 2009 e 2010, para escalonamento de privilégios, aproveitando o acesso inicial obtido via brute force com usuário de poucos privilégios.
No aspecto financeiro, a Flare identificou que o SSHStalker captura chaves AWS e realiza varreduras em websites.
Ele também inclui kits para mineração de criptomoedas, como o minerador Ethereum PhoenixMiner, de alto desempenho.
Capacidades para ataques de negação de serviço distribuídos (DDoS) estão presentes, embora nenhum ataque desse tipo tenha sido detectado até o momento.
Atualmente, os bots simplesmente se conectam ao C2 e permanecem em estado ocioso, sugerindo fase de testes ou reserva de acesso.
A Flare não atribuiu o SSHStalker a nenhum grupo específico, mas apontou similaridades com o ecossistema dos botnets Outlaw/Maxlas e indicativos ligados à Romênia.
Como medidas de mitigação, a empresa recomenda monitorar instalações e execuções de compiladores em servidores de produção, além de alertar sobre conexões de saída no estilo IRC.
Tarefas cron com ciclos de execução muito curtos e originadas de caminhos incomuns também devem ser sinalizadas.
Entre as recomendações para conter a ameaça estão a desativação da autenticação por senha no SSH, remoção de compiladores das imagens de produção, aplicação rigorosa de filtros de saída (egress filtering) e restrição da execução de arquivos a partir de “/dev/shm”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...