游乐游手机版
首页/科技数码/文章详情

SSHStalker僵尸网络利用Linux旧内核漏洞控制服务器

时间:2026-02-12 16:17
SSHStalker的显著特点是结合了大规模入侵自动化技术与16个影响Linux内核的漏洞利用代码,其中部分漏洞可追溯至2009年。 网络安全研究人员披露了一个名为SSHStalker的新型僵尸网络

SSHStalker的显著特点是结合了大规模入侵自动化技术与16个影响Linux内核的漏洞利用代码,其中部分漏洞可追溯到2009年。

网络安全研究人员披露了一个名为SSHStalker的新型僵尸网络攻击活动细节,该网络依赖互联网中继聊天(IRC)协议实现命令与控制(C2)功能。

网络安全公司Flare表示:“该工具集结合了隐蔽辅助程序与旧版Linux漏洞利用技术:除了日志清理工具(篡改utmp/wtmp/lastlog)和rootkit类组件外,攻击者还保留了大量2009-2010年间针对Linux 2.6.x内核的漏洞利用代码。这些漏洞对现代系统价值有限,但对‘被遗忘’的基础设施和长期遗留环境仍然有效。”

自动化攻击与持久潜伏特性

SSHStalker将IRC僵尸网络机制与自动化大规模入侵操作相结合,通过SSH扫描器和其他现成扫描工具将易受攻击系统纳入网络,并将其注册到IRC频道中。与其他通常利用此类僵尸网络进行分布式拒绝服务(DDoS)攻击、代理劫持或加密货币挖掘的短期攻击活动不同,SSHStalker被发现会维持持久访问权限而不进行后续攻击行为。

这种潜伏特性使其与众不同,表明被入侵基础设施可能被用于攻击准备、测试或战略保留以供未来使用。

技术实现细节

SSHStalker的核心组件是一个Golang扫描器,它会扫描22端口寻找开启SSH的服务器,以蠕虫式传播扩大攻击范围。攻击还会投放多个有效载荷,包括IRC控制bot变体和Perl文件bot,后者会连接至UnrealIRCd服务器,加入控制频道并等待执行洪水流量攻击和控制其他bot的指令。

攻击还通过执行C程序文件清理SSH连接日志,消除恶意活动痕迹以降低取证可见性。此外,该恶意工具包含“保活”组件,确保主恶意进程在被安全工具终止后60秒内重新启动。

\

利用的漏洞与攻击工具库

SSHStalker的显著特点是结合了大规模入侵自动化技术与16个影响Linux内核的漏洞利用代码,其中部分漏洞可追溯到2009年。漏洞利用模块使用的缺陷包括(CVE-2009-2692)、(CVE-2009-2698)、(CVE-2010-3849)、(CVE-2010-1173)、(CVE-2009-2267)、(CVE-2009-2908)、(CVE-2009-3547)、(CVE-2010-2959)和(CVE-2010-3437)等。

Flare对攻击者基础设施的调查发现了大量开源攻击工具和已公开的恶意软件样本,包括:用于实现隐蔽和持久化的rootkit加密货币挖掘程序可执行文件名为“website grabber”二进制文件的Python脚本,用于从目标窃取暴露的亚马逊云服务(AWS)密钥具有C2和远程命令执行功能的IRC bot——EnergyMech

攻击者背景分析

由于IRC频道和配置词表中存在“罗马尼亚式昵称、俚语模式和命名惯例”,研究人员怀疑该攻击活动幕后黑手可能来自罗马尼亚。其操作特征与名为Outlaw(又称Dota)的黑客组织高度重合。

Flare指出:“SSHStalker似乎不专注于新型漏洞利用开发,而是通过成熟的实现和编排展示操作控制能力,主要使用C语言编写核心bot和底层组件,shell脚本负责编排和持久化,Python和Perl仅限用于攻击链中的辅助自动化任务和运行IRCbot。该威胁行为体虽未开发0Day或新型rootkit,但在大规模入侵工作流、基础设施循环利用以及跨异构Linux环境的长期持久化方面展现出强大的操作纪律。”

来源:https://www.51cto.com/article/836403.html
上一篇Electron重构揭秘:VSCode高性能优化实战解析 下一篇法拉利2025年交付量微降,纯电新车Luce将发布净利润增5%
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5