Co znajdziesz w tym artykule?
- 1 Wprowadzenie do problemu / definicja luki
- 2 W skrócie
- 3 Kontekst / historia / powiązania
- 4 Analiza techniczna / szczegóły luki
- 4.1 1) Dostęp początkowy i „nmap”, który nmapem nie jest
- 4.2 2) Kompilacja na hoście (GCC) – portowalność i utrudnienie detekcji
- 4.3 3) Warstwa C2 na IRC: boty w C + Perl + elementy „kamuflażu”
- 4.4 4) Persystencja: cron co minutę i watchdog „update”
- 4.5 5) Stare exploity kernela do eskalacji
- 4.6 6) Moduły „zarobkowe” i funkcjonalne
- 5 Praktyczne konsekwencje / ryzyko
- 6 Rekomendacje operacyjne / co zrobić teraz
- 7 Różnice / porównania z innymi przypadkami
- 8 Podsumowanie / kluczowe wnioski
- 9 Źródła / bibliografia
Wprowadzenie do problemu / definicja luki
SSHStalker to nowo opisany botnet dla Linuksa, który wraca do „starej szkoły” w warstwie dowodzenia: zamiast nowoczesnych frameworków C2 używa klasycznego IRC. Nie chodzi tu jednak o nostalgię, tylko o pragmatykę: niski koszt, prostotę, odporność (wiele serwerów/kanałów) i łatwe skalowanie. Z perspektywy obrońców to groźna mieszanka, bo kampania kładzie nacisk na masowość: głośne skanowanie SSH, brute force, szybkie dosyłanie kolejnych modułów oraz agresywna persystencja realizowana przez crona co minutę.
W skrócie
- Wejście: automatyczne skanowanie portu 22 i brute force SSH (binarka w Go podszywająca się pod „nmap”).
- Propagacja: przejęte hosty skanują dalej – zachowanie „robakopodobne”.
- C2: IRC-boty w C/Perlu z zakodowanymi serwerami/kanałami; widoczna redundancja kanałów/serwerów.
- Persystencja: cron co 60 sekund + mechanizm „watchdog/update” wznawiający główny proces.
- Eskalacja uprawnień: wykorzystanie zestawu starych exploitów kernela Linuksa (era 2009–2010).
- Monetyzacja/funkcje: m.in. skanowanie stron pod kątem kluczy AWS, kopanie krypto (np. PhoenixMiner) oraz potencjalne DDoS (na razie obserwowano raczej „bezczynność” botów).
Kontekst / historia / powiązania
Badacze opisują SSHStalker jako zestaw „zszytych” elementów: klasyczne boty IRC, stare exploity i bardzo proste mechanizmy utrzymania się na hoście – ale spięte w sprawny pipeline masowej kompromitacji.
W analizach pojawiają się podobieństwa do ekosystemu Outlaw/Maxlas oraz wzmianki o „rumuńskich” tropach, ale bez twardej atrybucji (możliwy klon, pochodna lub aktor luźno powiązany).
Ciekawy jest też wątek skali: Flare wskazuje na artefakt ze skanami sugerującymi ok. 7 tys. wyników (styczeń 2026) i dominację infrastruktury chmurowej (m.in. ślady Oracle Cloud/ASN).
Analiza techniczna / szczegóły luki
1) Dostęp początkowy i „nmap”, który nmapem nie jest
Pierwszy etap to binarka nazwana „nmap”, będąca w praktyce skanerem SSH napisanym w Go. Jej rola jest typowo „wormowa”: znaleźć nowe cele z otwartym portem 22 i zasilić łańcuch kolejnych prób logowania.
2) Kompilacja na hoście (GCC) – portowalność i utrudnienie detekcji
Po przejęciu serwera atakujący dociąga narzędzia kompilacji (GCC), a następnie zrzuca źródła (C/Perl) i kompiluje je lokalnie. To daje lepszą „dopasowalność” binarek do środowiska ofiary i utrudnia proste blokowanie po hashu.
3) Warstwa C2 na IRC: boty w C + Perl + elementy „kamuflażu”
Pierwsze payloady to IRC-boty (C) z twardo wpisanymi serwerami/kanałami, a następnie kolejne archiwa („GS”, „bootbou”) zawierające moduły orkiestracji, backdoory, czyszczenie logów oraz logikę dalszego wdrażania.
Flare opisuje też oznaki użycia EnergyMech (historycznie popularny bot IRC) i co ważne: „banki tekstów” (zwroty, losowe powiedzonka), które mogą generować szum w kanałach i utrudniać rozróżnienie ruchu „ludzkiego” od automatycznego.
4) Persystencja: cron co minutę i watchdog „update”
SSHStalker idzie w prostotę: wpis crona uruchamia co minutę skrypt „update”, który sprawdza PID procesu i wznawia całość, jeśli bot został ubity. Dla SOC/IR to oznacza, że „zabicie procesu” bez usunięcia mechanizmu persystencji daje efekt maksymalnie chwilowy.
5) Stare exploity kernela do eskalacji
Po brute force (często do konta z ograniczeniami) botnet sięga po zestaw starych podatności kernela (2009–2010) w celu podbicia uprawnień. To szczególnie groźne w środowiskach „long-tail”: stare VPS-y, porzucone obrazy, przestarzałe appliance’y, OT/IoT.
6) Moduły „zarobkowe” i funkcjonalne
W obserwacjach pojawiają się m.in.:
- narzędzia do poszukiwania kluczy AWS w zasobach WWW (wzorce typu AKIA…),
- cryptomining (np. PhoenixMiner oraz inne zestawy kopiące przez pule),
- komponenty sugerujące możliwość DDoS, choć w momencie opisu boty często zachowywały się pasywnie (podłączenie do C2 i „idle”).
Praktyczne konsekwencje / ryzyko
- Ryzyko przejęcia serwerów produkcyjnych przez słabe SSH: jeśli dopuszczasz logowanie hasłem, masz otwarty port 22 do internetu i brak rate-limitów/FA2 (tam gdzie możliwe), jesteś wprost w profilu ofiary.
- Szybka reinfekcja po „prostym” czyszczeniu: cron co minutę oznacza, że półśrodki w IR nie działają.
- Eskalacja na starych kernelach: infrastruktura legacy jest realnie bardziej narażona – nawet jeśli dostęp początkowy jest „tylko” na niskim koncie.
- Egress i „dziwny” IRC z serwerów: w wielu organizacjach ruch IRC z serwera aplikacyjnego powinien być z definicji podejrzany.
- Dodatkowe szkody: kradzież kluczy chmurowych + kopanie krypto + potencjalne DDoS to klasyczna ścieżka od „włamania” do kosztów operacyjnych i incydentu regulacyjnego.
Rekomendacje operacyjne / co zrobić teraz
Twarde minimum (szybkie wygrane):
- Wyłącz SSH password auth i przejdź na klucze (a tam gdzie ma sens: dodatkowa warstwa MFA/bastion/VPN).
- Wprowadź rate-limiting / banowanie brute force (np. fail2ban, ograniczenia na firewallu, port-knocking w specyficznych przypadkach).
- Ogranicz ekspozycję portu 22: allow-list, dostęp tylko z sieci zarządzającej, jump-hosty.
Detekcja i monitoring (pod SSHStalker):
- Alarmuj na instalację/uruchomienie kompilatorów (gcc/make) na serwerach produkcyjnych, szczególnie z /tmp, /dev/shm, katalogów użytkowników.
- Wykrywaj cron jobs co minutę oraz wpisy tworzone poza CM (Ansible/Puppet itp.).
- Monitoruj outbound pod kątem IRC handshake / długich połączeń TCP do nietypowych hostów oraz kanałów czatu/relay.
Utrudnianie życia atakującym:
- Egress filtering „default deny” dla serwerów, które nie muszą wychodzić w internet (lub bardzo restrykcyjna lista).
- Jeśli możesz: usuń toolchain z obrazów produkcyjnych i uruchamiaj build tylko w kontrolowanych pipeline’ach.
- Zadbaj o aktualizacje kernela i eliminację legacy systemów — to bezpośrednio obcina wektor eskalacji.
Różnice / porównania z innymi przypadkami
- Nowoczesne C2 vs IRC: IRC jest „proste”, ale odporne i tanie; przy odpowiedniej redundancji nie musi być wyszukane, żeby było skuteczne.
- „Stealth-first” vs „scale-first”: SSHStalker jest opisywany jako głośny, nastawiony na masówkę i automatyzację, a nie na APT-ową dyskrecję. To zmienia priorytety obrony: większą wartość mają limity, segmentacja i higiena SSH niż polowanie na ultra-zaawansowane TTP.
- Podobieństwa do Outlaw/Maxlas: są podobne artefakty/„klimat” kampanii, ale bez jednoznacznej atrybucji – co jest typowe w świecie botnetów Linuksowych, gdzie kit i infrastruktura bywają recyklingowane.
Podsumowanie / kluczowe wnioski
SSHStalker pokazuje, że „stare” techniki (IRC, cron co minutę, zestawy exploitów sprzed ~15 lat) nadal mają sens, gdy celem jest duża skala i trafianie w długi ogon słabo utrzymanych serwerów. Priorytetem dla obrony powinny być: twarde ustawienia SSH, ograniczenie ekspozycji, monitoring uruchamiania kompilatorów i wykrywanie nietypowych połączeń wychodzących (zwłaszcza „chat/relay” z serwerów).
Źródła / bibliografia
- Flare – „Old-School IRC, New Victims: Inside the Newly Discovered SSHStalker Linux Botnet” (flare.io)
- BleepingComputer – „New Linux botnet SSHStalker uses old-school IRC for C2 comms” (BleepingComputer)
- SecurityWeek – „New ‘SSHStalker’ Linux Botnet Uses Old Techniques” (SecurityWeek)