【安全资讯】新型Linux僵尸网络SSHStalker采用老式IRC协议进行C2通信

概要：

网络安全研究人员近日发现了一个名为SSHStalker的新型Linux僵尸网络，其独特之处在于采用了诞生于1988年的老式IRC（互联网中继聊天）协议作为其命令与控制（C2）通信渠道。这一复古选择凸显了攻击者对网络弹性、规模和低成本的追求，而非技术新颖性。该僵尸网络通过大规模SSH暴力破解进行传播，并利用老旧漏洞提权，对云基础设施构成显著威胁。

主要内容：

根据威胁情报公司Flare的报告，SSHStalker僵尸网络的核心架构基于经典的IRC机制，采用多个基于C语言的机器人（bot）和多服务器/频道冗余设计。这种设计优先考虑可靠性和扩展性，而非隐蔽性。其初始入侵手段是自动化的SSH扫描和暴力破解，攻击者使用一个伪装成流行开源网络发现工具nmap的Go语言二进制文件。一旦主机被攻陷，便会加入扫描更多SSH目标的蠕虫式传播链条。

感染成功后，恶意软件会在受害主机上下载GCC编译器，用于现场编译载荷，以增强可移植性和规避检测。首批载荷是硬编码了C2服务器和频道的C语言IRC机器人，将新受害者纳入僵尸网络的IRC基础设施。随后，恶意软件会获取名为GS和bootbou的压缩包，其中包含用于编排和任务序列的机器人变种。

该僵尸网络通过每分钟执行一次的cron作业实现持久化，其采用看门狗式更新机制，检查主机器人进程是否运行并在终止时重新启动。此外，攻击链中还包含针对2009-2010年间Linux内核版本的16个CVE漏洞利用程序，用于在通过暴力破解获得低权限用户访问权后，进行权限提升。

在牟利方面，SSHStalker具备AWS密钥窃取、网站扫描功能，并集成了高性能以太坊挖矿工具PhoenixMiner。虽然也拥有分布式拒绝服务（DDoS）能力，但研究人员尚未观测到实际攻击。目前，其机器人大多处于连接C2后的空闲状态，可能处于测试或囤积访问权限阶段。Flare建议在生产服务器上监控编译器安装与执行行为，并对异常的IRC外联及短周期cron作业保持警惕。