文章总结: 研究人员披露新型僵尸网络SSHStalker,利用IRC协议C2及大量旧版Linux内核漏洞针对遗留基础设施。其独特之处在于维持持久访问的休眠行为而非进行挖矿或DDoS。该恶意软件包含Go扫描器、日志清理工具及Rootkit,攻击者疑似罗马尼亚Outlaw组织。建议运维人员修补老旧系统漏洞并监控IRC流量。 综合评分: 78 文章分类: 恶意软件,威胁情报,漏洞分析,漏洞预警
SSHStalker僵尸网络利用IRC C2通过旧版内核漏洞控制Linux系统
原创
网络安全9527 网络安全9527
安全圈的那点事儿
2026年2月12日 15:30 辽宁
网络安全研究人员披露了一种名为SSHStalker 的新型僵尸网络行动的细节,该行动依靠互联网中继聊天 ( IRC ) 通信协议进行命令与控制 (C2) 操作。
“该工具集融合了隐蔽辅助工具和旧版 Linux 漏洞利用:除了日志清理工具(utmp/wtmp/lastlog 篡改)和 rootkit 类工具外,攻击者还保留了大量 Linux 2.6.x 时代的漏洞利用程序(2009-2010 年的 CVE 编号)。”网络安全公司 Flare表示,“这些漏洞利用程序对现代操作系统价值较低,但对‘被遗忘的’基础设施和长期存在的旧版环境仍然有效。”
SSHStalker 将 IRC 僵尸网络机制与自动化的大规模入侵操作相结合,利用 SSH 扫描器和其他现成的扫描器将易受攻击的系统纳入网络,并将它们注册到 IRC 频道中。
然而,与其他通常利用此类僵尸网络进行分布式拒绝服务 (DDoS) 攻击、代理劫持或加密货币挖矿等机会主义活动的攻击不同,SSHStalker 被发现能够保持持久访问,而没有任何后续的后渗透行为。
这种休眠行为使其与众不同,这让人怀疑受损的基础设施可能被用于搭建平台、进行测试或保留战略访问权限以备将来使用。
SSHStalker 的核心组件是一个 Go 语言扫描器,它会扫描 22 端口上开放 SSH 的服务器,以类似蠕虫的方式扩展其攻击范围。此外,它还会投放多个有效载荷,包括 IRC 控制的机器人程序的变种,以及一个 Perl 文件机器人程序。该程序会连接到 UnrealIRCd IRC 服务器,加入控制频道,并等待指令以发起洪水式流量攻击并控制其他机器人程序。
这些攻击的另一个特点是执行 C 程序文件来清理 SSH 连接日志,并抹去日志中的恶意活动痕迹,从而降低取证的可见性。此外,该恶意软件工具包包含一个“保持存活”组件,确保在主恶意软件进程被安全工具终止后,能够在 60 秒内重新启动。
SSHStalker 的显著特点是将大规模入侵自动化与影响 Linux 内核的 16 个不同漏洞目录相结合,其中一些漏洞甚至可以追溯到 2009 年。该漏洞利用模块中使用的一些缺陷包括CVE-2009-2692、CVE-2009-2698、CVE-2010-3849、CVE-2010-1173、CVE-2009-2267、CVE-2009-2908、CVE-2009-3547、CVE-2010-2959和CVE-2010-3437。
Flare 对与该威胁行为者相关的部署基础设施的调查发现了一个包含大量开源攻击工具和先前已发布的恶意软件样本的存储库。其中包括:
- Rootkit 可实现隐蔽性和持久性
- 加密货币矿工
- 一个 Python 脚本,它会执行一个名为“网站抓取器”的二进制文件,以从目标网站窃取暴露的亚马逊网络服务 (AWS) 密钥。
- EnergyMech,一个提供C2和远程命令执行功能的IRC机器人
鉴于IRC频道和配置词表中存在“罗马尼亚风格的昵称、俚语模式和命名规则”,怀疑此次攻击背后的威胁行为者可能来自罗马尼亚。此外,其行动特征与名为Outlaw(又名Dota)的黑客组织高度重合。
“SSHStalker 似乎并不专注于开发新的漏洞利用程序,而是通过成熟的实现和编排来展示操作控制能力,其核心机器人和底层组件主要使用 C 语言,编排和持久化主要使用 shell 语言,而 Python 和 Perl 的使用则较为有限,主要用于攻击链中的实用程序或支持自动化任务以及运行 IRCbot,”Flare 表示。
“该威胁行为者并未开发零日漏洞或新型rootkit,而是在大规模入侵工作流程、基础设施回收利用以及跨异构Linux环境的长尾持久化方面展现出强大的操作纪律性。”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《SSHStalker僵尸网络利用IRC C2通过旧版内核漏洞控制Linux系统》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论