SSHStalker僵尸網絡通過暴力破解攻陷7000臺Linux服務器

一個新發現的僵尸網絡正在通過暴力破解弱SSH密碼登錄認證來攻陷防護不當的Linux服務器。

發現該僵尸網絡的加拿大Flare Systems研究人員進入了其暫存服務器，發現截至1月底至少有7000臺服務器被攻陷，其中一半位于美國。

該僵尸網絡的武器庫包括針對未打補丁的Linux漏洞的攻擊代碼，這些漏洞最早可追溯到2009年。

研究人員將這個名為SSHStalker的僵尸網絡描述為"一個復雜的操作，將2009年時代的IRC僵尸網絡戰術與現代大規模攻陷自動化技術相結合"。

它擁有一個"拼接而成的僵尸網絡工具包"，可執行無文件惡意軟件、rootkit、日志清理器和各種內核攻擊代碼。除其他功能外，它還會收集AWS憑據。

研究人員稱SSHStalker是一個"規模優先的操作，更注重可靠性而非隱蔽性"。

然而，到目前為止，該僵尸網絡除了在受感染機器上維持持久性外，并未做太多其他事情。它具備發起DDoS攻擊和進行加密貨幣挖礦的能力，但尚未采取任何行動來將其訪問權限貨幣化。Flare表示，這表明操作者要么仍在構建僵尸網絡基礎設施，要么處于測試階段，或者是在為將來使用而保持訪問權限。

對于首席安全官們來說，好消息是根據Flare網絡安全研究員Assaf Morag的說法，目前有一種方法可以完全阻止這個特定的僵尸網絡：禁用對Linux機器的SSH密碼認證，用基于SSH密鑰的認證替換它，或者將密碼登錄隱藏在VPN后面。

這種改變應該伴隨SSH暴力破解速率限制的實施、監控試圖訪問互聯網連接Linux服務器的人員，以及將服務器遠程訪問限制在特定IP范圍內。

然而，Morag警告說，目前SSHStalker正在尋找SSH保護較弱的Linux服務器，但操作者隨時可能添加另一種攻擊向量，比如未打補丁的服務器漏洞或錯誤配置。

安全基礎仍是關鍵

SANS研究所現場首席信息安全官兼人工智能安全副總裁Chris Cochran表示，SSHStalker提醒我們安全基礎仍然決定著戰斗的勝負。

"是的，人工智能正在改變威脅格局。是的，自動化正在加速攻擊。但這次活動證明了一些更簡單但更令人不安的事情：老伎倆仍然有效，"他說。"如果我今天與另一位首席信息安全官交談，我的建議不是'購買更多AI'。"

他說，首席安全官和信息安全領導者應該利用這份報告作為借口，最終確定一些他們一直想要實施的安全基礎措施。這包括停止使用密碼登錄。"如果你在2026年仍然允許基于密碼的SSH訪問，你基本上就是在邀請僵尸網絡來喝咖啡，"Cochran說。

信息安全領導者應該轉向基于密鑰的認證，或者轉向具有短期憑據或身份感知代理的解決方案。

其次，他們需要積極盤點IT資產，遵循"你無法保護你不知道存在的東西"這一古老規則。

他說，被SSHStalker攻擊的數千個系統中的大多數都是被遺忘的服務器。

第三，信息安全領導者必須意識到他們環境中的真正問題是安全債務：未打補丁系統的積壓、持續存在的已知漏洞，以及"我們下個季度會處理"的積壓。

"這些就是被利用的地方，"他說。"在我們解決99%無聊的威脅之前，我們需要停止追逐1%酷炫的威脅。"

1Password全球咨詢首席信息安全官Dave Lewis補充說，信息安全領導者應該確保生產服務器上沒有編譯器，構建工具只在指定的構建主機上。應該對類似IRC的流量設置警報，在Linux服務器上進行cron/systemd完整性監控，特別是對"每分鐘運行"的模式。

最后，由于SSHStalker尋找較舊的Linux機器，管理員應該制定傳統Linux根除計劃，優先斷開任何版本為Linux內核2.6的機器，因為這些服務器正在被目標攻擊。

攻擊機制分析

SSHStalker的發現源于Flare在今年年初創建的一個SSH蜜罐，故意使用弱憑據，看看會發生什么。雖然大多數攻擊來自已知威脅行為者，但有一個來自某個源的明顯集群，沒有類似的執行流程或先前的攻陷指標。

在進入Linux機器后，惡意軟件會用自己的SSH密鑰創建后門以維持訪問權限。它還會安裝一個掃描22端口的二進制文件，尋找具有無保護SSH的服務器，試圖找到其他新的易受攻擊服務器。有效載荷還包含幾個C腳本，包括用于編譯和運行惡意軟件的Linux gcc。

Morag說，這個階段是"嘈雜的"，所以防御者應該注意它可以被尋找異常服務器行為的應用程序檢測到。

zip文件中的二級有效載荷包括用于與命令和控制服務器通信的IRC機器人。其他階段安裝在內存中運行的惡意軟件。

"整個執行鏈非常嘈雜，"Morag說。"他們不需要做所有這些。我猜他們試圖在物聯網設備上運行，但也在商業服務器上運行。"

這也表明操作者仍處于構建僵尸網絡的早期階段，他說。

但報告還說IRC組件可以用來隱藏活動，比如包含隨機聊天短語。報告說："這強烈表明機器人不僅被配置用于控制，還用于行為偽裝"，通過在IRC頻道中生成類似人類的噪音來掩蓋真實操作者活動，或使自動化存在顯得有機。"這種戰術與傳統僵尸網絡操作技藝一致，混合到公共頻道中減少了懷疑，同時仍允許操作者通過私人消息、DCC會話或鏈接的機器人網絡發出命令，"報告說。

惡意軟件尋找較舊的Linux內核，包括版本2.6.18、2.6.18-164、2.6.31和2.6.37。Flare估計這大約包括3%的面向互聯網的Linux服務器。

但在Flare稱為長尾環境（如傳統托管提供商、廢棄的VPS鏡像、過時的設備、工業/OT設備或小眾嵌入式部署）中，這個比例可能高達10%。

內核攻擊代碼庫包括16個不同的CVE，其中5個可追溯到2009年，3個到2010年。從惡意軟件的組件來看，報告說，操作者可能了解內核版本指紋識別、權限提升鏈和大規模利用工作流程，即使他們沒有開發新穎的攻擊代碼。

防護建議

除了禁用SSH密碼認證外，報告建議信息安全領導者：

設置當非系統進程試圖修改登錄賬戶記錄時觸發的警報；

如果可能，從生產鏡像中移除編譯器；

僅在受控構建環境中允許工具鏈執行；

根據業務需要執行出口過濾；

使用防病毒掃描器來捕獲SSHStalker丟棄的二進制文件；

監控gcc的未經授權執行；

設置當編譯器從用戶目錄、/tmp或/dev/shm運行時的警報；

設置當新編譯的二進制文件在創建后幾秒或幾分鐘內執行時的警報；

在服務器上設置警報以檢測與未知外部聊天或中繼基礎設施的通信。

Q&A

Q1：SSHStalker僵尸網絡是如何攻擊Linux服務器的？

A：SSHStalker通過暴力破解弱SSH密碼登錄認證來攻陷防護不當的Linux服務器。它會掃描22端口尋找具有無保護SSH的服務器，然后利用2009年以來的各種Linux內核漏洞進行攻擊。攻擊成功后，會創建后門并安裝各種惡意軟件組件。

Q2：如何防護SSHStalker僵尸網絡的攻擊？

A：最有效的防護方法是禁用SSH密碼認證，改用基于SSH密鑰的認證，或將密碼登錄隱藏在VPN后面。同時需要實施SSH暴力破解速率限制，監控服務器訪問，限制遠程訪問IP范圍，并及時打補丁更新系統。

Q3：SSHStalker僵尸網絡主要針對哪些Linux系統？

A：SSHStalker主要針對運行較舊Linux內核的服務器，包括版本2.6.18、2.6.18-164、2.6.31和2.6.37等。這些系統約占面向互聯網Linux服務器的3%，在傳統托管環境、廢棄VPS和工業設備中比例可能達到10%。