SSHStalker 僵尸网络使用 IRC C2 控制 Linux 系统,利用旧版内核漏洞
发布: (2026年2月11日 GMT+8 17:56)
5 分钟阅读
原文: The Hacker News
Source: The Hacker News
Ravie Lakshmanan
2026 年 2 月 11 日 – Linux / 僵尸网络
网络安全研究人员披露了一种新型僵尸网络行动,名为 SSHStalker,它使用互联网中继聊天(IRC)通信协议进行指挥控制(C2)。
“该工具集将隐蔽助手与传统 Linux 利用技术相结合:除了日志清理器(utmp/wtmp/lastlog 篡改)和 rootkit 级别的产物外,攻击者还保留了大量 Linux 2.6.x 时代的漏洞利用(2009–2010 年的 CVE)。这些对现代堆栈价值不高,但在‘被遗忘’的基础设施和长尾遗留环境中仍然有效。” – Flare
概述
- SSHStalker 将经典的 IRC 僵尸网络机制与自动化的大规模妥协操作相结合。
- 它使用一个用 Go 编写的 SSH 扫描器以及其他现成的扫描器,劫持易受攻击的系统并将其加入 IRC 频道。
- 与许多专注于机会主义活动(DDoS、代理劫持、加密挖矿)的僵尸网络不同,SSHStalker 在没有任何明显后渗透行为的情况下保持 持久访问。
这种休眠行为表明,被妥协的基础设施可能被用于 阶段性部署、测试或战略性访问保留。
技术细节
- Scanner – 一个用 Go 编写的组件,用于探测 22 端口的开放 SSH 服务,以蠕虫式方式传播僵尸网络。
- Payloads – 包含:
- 多种基于 IRC 控制的僵尸程序变体。
- 一个 Perl 僵尸程序,连接到 UnrealIRCd 服务器,加入控制频道,并等待用于洪水式攻击的指令。
- Log‑cleaning – 执行编译后的 C 程序,清除 SSH 连接日志(utmp、wtmp、lastlog),降低取证可见性。
- Keep‑alive – 一个看门狗进程,如果主恶意软件进程被终止,会在 60 秒内重新启动它。
被利用的漏洞
SSHStalker 包含 16 个不同的 Linux 内核漏洞,其中许多可追溯到 2009 年。值得注意的 CVE 包括:
| CVE | 年份 | 简要描述 |
|---|---|---|
| CVE‑2009‑2692 | 2009 | … |
| CVE‑2009‑2698 | 2009 | … |
| CVE‑2010‑3849 | 2010 | … |
| CVE‑2010‑1173 | 2010 | … |
| CVE‑2009‑2267 | 2009 | … |
| CVE‑2009‑2908 | 2009 | … |
| CVE‑2009‑3547 | 2009 | … |
| CVE‑2010‑2959 | 2010 | … |
| CVE‑2010‑3437 | 2010 | … |
(表格可以扩展以包含其余的 CVE。)
关联工具
- 用于隐蔽和持久化的Rootkit。
- 加密货币挖矿程序。
- 一个Python脚本运行名为 “website grabber” 的二进制文件,以窃取目标站点中泄露的AWS凭证。
- EnergyMech,一个提供C2和远程命令执行的IRC机器人。
归属
- 可能来源: 罗马尼亚,基于在 IRC 频道和配置词表中观察到的昵称、俚语和命名约定。
- 运营重叠: 与 Outlaw 组织(又名 Dota)的战术、技术和程序(TTP)相似。
“SSHStalker 并未专注于新颖的漏洞开发,而是通过成熟的实现和编排展示了运营控制。” – Flare
“主要使用 C 进行核心机器人和底层组件开发,使用 shell 进行编排和持久化,有限的 Python 和 Perl 用于实用工具或在攻击链内部支持自动化任务以及运行 IRC 机器人,” Flare 说。
“威胁行为者并未开发零日或新颖的 rootkit,而是在大规模妥协工作流、基础设施循环利用以及跨异构 Linux 环境的长期持久化方面展示了强大的运营纪律。” – Flare
觉得这篇文章有趣吗? 关注我们获取更多独家内容: