“6e73c24b-1133-4598-9983-ac4130f7d51d”>SSHStalker، تم اكتشافه مؤخرًا”inline-link” href=”https://www.techradar.com/best/best-linux-distros” عنوان URL للبيانات=”https://www.techradar.com/best/best-linux-distros” data-hl-processed=”none” data-mrf-إعادة التدوير=”inline-link” data-before-rewrite-localise=”https://www.techradar.com/best/best-linux-distros”>لينكس يبدو أن الروبوتات تعتمد على بروتوكول IRC (Internet Relay Chat) الكلاسيكي لإدارة عملياتها.
تم إنشاء IRC في عام 1988، وكان ذات يوم نظام المراسلة الفورية المهيمن للمجتمعات التقنية نظرًا لبساطته، واحتياجاته المنخفضة من النطاق الترددي، والتوافق عبر الأنظمة الأساسية.
على عكس أطر القيادة والتحكم الحديثة، يستخدم SSHStalker العديد من الروبوتات والقنوات المتكررة والخوادم للحفاظ على التحكم في الأجهزة المصابة مع الحفاظ على انخفاض تكاليف التشغيل.
بنية الروبوتات والبنية التحتية للأوامر
SSHStalker”inline-link” href=”https://www.techradar.com/best/best-malware-removal” عنوان URL للبيانات=”https://www.techradar.com/best/best-malware-removal” data-hl-processed=”none” data-mrf-إعادة التدوير=”inline-link” data-before-rewrite-localise=”https://www.techradar.com/best/best-malware-removal”>البرامج الضارة يحقق الوصول الأولي من خلال فحص SSH الآلي وهجمات القوة الغاشمة، ثم يستخدم ثنائيًا قائمًا على Go متخفيًا في هيئة أداة شبكة مفتوحة المصدر nmap للتسلل إلى الخوادم.
قام باحثون من شركة Flare الأمنية بتوثيق ما يقرب من 7000 نتيجة لمسح الروبوتات في شهر واحد، والتي تستهدف بشكل أساسي البنية التحتية السحابية، بما في ذلك بيئات Oracle Cloud.
بمجرد اختراق المضيف، يصبح جزءًا من آلية نشر الروبوتات، حيث يقوم بمسح الخوادم الأخرى بنمط يشبه الدودة.
بعد الإصابة، يقوم SSHStalker بتنزيل مترجم مجلس التعاون الخليجي لبناء الحمولات مباشرة على النظام المخترق، مما يضمن إمكانية تشغيل روبوتات IRC المستندة إلى لغة C بشكل موثوق عبر توزيعات Linux المختلفة.
قم بالتسجيل في النشرة الإخبارية TechRadar Pro للحصول على أهم الأخبار والآراء والميزات والإرشادات التي يحتاجها عملك لتحقيق النجاح!
تحتوي هذه الروبوتات على خوادم وقنوات ذات ترميز ثابت تقوم بتسجيل المضيف في شبكة الروبوتات التي يتحكم فيها IRC.
توفر الحمولات الإضافية المسماة GS وbootbou التنسيق وتسلسل التنفيذ، مما يؤدي بشكل فعال إلى إنشاء شبكة قابلة للتطوير من الأجهزة المصابة تحت سيطرة IRC المركزية.
يتم الحفاظ على الثبات على كل مضيف من خلال وظائف cron التي تم تعيينها للتشغيل كل دقيقة، والتي تراقب عملية الروبوت الرئيسية وتعيد تشغيلها في حالة إنهائها، مما يؤدي إلى إنشاء حلقة تغذية مرتدة ثابتة.
تستفيد شبكة الروبوتات أيضًا من عمليات استغلال 16 مشكلة CVE قديمة في Linux kernel يعود تاريخها إلى الفترة من 2009 إلى 2010، وتستخدمها لتصعيد الامتيازات بمجرد اختراق حساب مستخدم منخفض الامتيازات.
وبعيدًا عن التحكم الأساسي، يحتوي SSHStalker على آليات مدمجة لتحقيق الدخل، حيث تقوم البرامج الضارة بحصد مفاتيح AWS، وإجراء مسح لموقع الويب، وتتضمن إمكانات التعدين عبر PhoenixMiner لتعدين Ethereum.
على الرغم من وجود قدرات DDoS، إلا أن Flare لم يلاحظ أي هجمات، مما يشير إلى أن شبكة الروبوتات إما في مرحلة الاختبار أو اكتناز الوصول.
تؤكد الاستراتيجيات الدفاعية ضد SSHStalker على مراقبة عمليات تثبيت المترجم، ونشاط cron غير المعتاد، والاتصالات الصادرة على نمط IRC.
يُنصح المسؤولون بتعطيل مصادقة كلمة مرور SSH، وإزالة المترجمين من بيئات الإنتاج، وفرض تصفية خروج صارمة.
الحفاظ قويا”inline-link” href=”https://www.techradar.com/best/best-antivirus” عنوان URL للبيانات=”https://www.techradar.com/best/best-antivirus” data-hl-processed=”none” data-mrf-إعادة التدوير=”inline-link” data-before-rewrite-localise=”https://www.techradar.com/best/best-antivirus”> حلول مكافحة الفيروسات واستخدام جيد”inline-link” href=”https://www.techradar.com/best/firewall” عنوان URL للبيانات=”https://www.techradar.com/best/firewall” data-hl-processed=”none” data-mrf-إعادة التدوير=”inline-link” data-before-rewrite-localise=”https://www.techradar.com/best/firewall”> جدار الحماية يمكن للبروتوكولات أن تقلل من التعرض لهذا التهديد وغيره من التهديدات ذات النمط القديم.
عبر”inline-link” href=”https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/” الهدف=”_blank” rel=”nofollow” عنوان URL للبيانات=”https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/” سياسة الإحالة=”no-referrer-when-downgrade” data-hl-processed=”none” data-mrf-إعادة التدوير=”inline-link”>BleepingComputer
“6e2ac97f-f15f-4964-a682-e49dd6f4c549″>”inline-link” href=”https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEWFJsWTJoeVlXUmhjaTVqYjIwb0FBUAE?hl=en-GB&gl=GB&ceid=GB%3Aen” عنوان URL للبيانات=”https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEWFJsWTJoeVlXUmhjaTVqYjIwb0FBUAE?hl=en-GB&gl=GB&ceid=GB%3Aen” الهدف=”_blank” سياسة الإحالة=”no-referrer-when-downgrade” data-hl-processed=”none” data-mrf-إعادة التدوير=”inline-link”>اتبع TechRadar على أخبار جوجل و”inline-link” href=”https://www.google.com/preferences/source?q=techradar.com” عنوان URL للبيانات=”https://www.google.com/preferences/source?q=techradar.com” الهدف=”_blank” سياسة الإحالة=”no-referrer-when-downgrade” data-hl-processed=”none” data-mrf-إعادة التدوير=”inline-link”> أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
ظلت إيفوسا تكتب عن التكنولوجيا منذ أكثر من 7 سنوات، وكان الدافع في البداية هو الفضول ولكن الآن يغذيها شغف قوي بهذا المجال. حصل على درجتي الماجستير والدكتوراه في العلوم، مما زوده بأساس متين في التفكير التحليلي.
يجب عليك تأكيد اسم العرض العام الخاص بك قبل التعليق
يرجى تسجيل الخروج ثم تسجيل الدخول مرة أخرى، ثم سيُطلب منك إدخال اسم العرض الخاص بك.