发现该僵尸网络的加拿大Flare Systems研究人员进入了其暂存服务器，发现截至1月底至少有7000台服务器被攻陷，其中一半位于美国。

　　该僵尸网络的武器库包括针对未打补丁的Linux漏洞的攻击代码，这些漏洞最早可追溯到2009年。

　　研究人员将这个名为SSHStalker的僵尸网络描述为一个复杂的操作，将2009年时代的IRC僵尸网络战术与现代大规模攻陷自动化技术相结合。

　　它拥有一个拼接而成的僵尸网络工具包，可执行无文件恶意软件、rootkit、日志清理器和各种内核攻击代码。除其他功能外，它还会收集AWS凭据。

　　然而，到目前为止，该僵尸网络除了在受感染机器上维持持久性外，并未做太多其他事情。它具备发起DDoS攻击和进行加密货币挖矿的能力，但尚未采取任何行动来将其访问权限货币化。Flare表示，这表明操作者要么仍在构建僵尸网络基础设施，要么处于测试阶段，或者是在为将来使用而保持访问权限。

　　对于首席安全官们来说，好消息是根据Flare网络安全研究员Assaf Morag的说法，目前有一种方法可以完全阻止这个特定的僵尸网络：禁用对Linux机器的SSH密码认证，用基于SSH密钥的认证替换它，或者将密码登录隐藏在VPN后面。

　　这种改变应该伴随SSH暴力破解速率限制的实施、监控试图访问互联网连接Linux服务器的人员，以及将服务器远程访问限制在特定IP范围内。

　　然而，Morag警告说，目前SSHStalker正在寻找SSH保护较弱的Linux服务器，但操作者随时可能添加另一种攻击向量，比如未打补丁的服务器漏洞或错误配置。

　　SANS研究所现场首席信息安全官兼人工智能安全副总裁Chris Cochran表示，SSHStalker提醒我们安全基础仍然决定着战斗的胜负。

　　是的，人工智能正在改变威胁格局。是的，自动化正在加速攻击。但这次活动证明了一些更简单但更令人不安的事情：老伎俩仍然有效，他说。如果我今天与另一位首席信息安全官交谈，我的建议不是购买更多AI。

　　他说，首席安全官和信息安全领导者应该利用这份报告作为借口，最终确定一些他们一直想要实施的安全基础措施。这包括停止使用密码登录。如果你在2026年仍然允许基于密码的SSH访问，你基本上就是在邀请僵尸网络来喝咖啡，Cochran说。

　　第三，信息安全领导者必须意识到他们环境中的真正问题是安全债务：未打补丁系统的积压、持续存在的已知漏洞，以及我们下个季度会处理的积压。

　　这些就是被利用的地方，他说。在我们解决99%无聊的威胁之前，我们需要停止追逐1%酷炫的威胁。

　　1Password全球咨询首席信息安全官Dave Lewis补充说，信息安全领导者应该确保生产服务器上没有编译器，构建工具只在指定的构建主机上。应该对类似IRC的流量设置警报，在Linux服务器上进行cron/systemd完整性监控，特别是对每分钟运行的模式。

　　最后，由于SSHStalker寻找较旧的Linux机器，管理员应该制定传统Linux根除计划，优先断开任何版本为Linux内核2.6的机器https代理vpn，因为这些服务器正在被目标攻击。

　　SSHStalker的发现源于Flare在今年年初创建的一个SSH蜜罐，故意使用弱凭据，看看会发生什么。虽然大多数攻击来自已知威胁行为者，但有一个来自某个源的明显集群，没有类似的执行流程或先前的攻陷指标。

　　在进入Linux机器后，恶意软件会用自己的SSH密钥创建后门以维持访问权限。它还会安装一个扫描22端口的二进制文件，寻找具有无保护SSH的服务器，试图找到其他新的易受攻击服务器。有效载荷还包含几个C脚本，包括用于编译和运行恶意软件的Linux gcc。

　　Morag说，这个阶段是嘈杂的，所以防御者应该注意它可以被寻找异常服务器行为的应用程序检测到。

　　zip文件中的二级有效载荷包括用于与命令和控制服务器通信的IRC机器人。其他阶段安装在内存中运行的恶意软件。

　　整个执行链非常嘈杂，Morag说。他们不需要做所有这些。我猜他们试图在物联网设备上运行，但也在商业服务器上运行。

　　但报告还说IRC组件可以用来隐藏活动，比如包含随机聊天短语。报告说：这强烈表明机器人不仅被配置用于控制，还用于行为伪装，通过在IRC频道中生成类似人类的噪音来掩盖真实操作者活动，或使自动化存在显得有机。这种战术与传统僵尸网络操作技艺一致，混合到公共频道中减少了怀疑，同时仍允许操作者通过私人消息、DCC会话或链接的机器人网络发出命令，报告说。

　　但在Flare称为长尾环境（如传统托管提供商、废弃的VPS镜像、过时的设备、工业/OT设备或小众嵌入式部署）中，这个比例可能高达10%。

　　内核攻击代码库包括16个不同的CVE，其中5个可追溯到2009年，3个到2010年。从恶意软件的组件来看，报告说，操作者可能了解内核版本指纹识别、权限提升链和大规模利用工作流程，即使他们没有开发新颖的攻击代码。

　　A：SSHStalker通过暴力破解弱SSH密码登录认证来攻陷防护不当的Linux服务器。它会扫描22端口寻找具有无保护SSH的服务器，然后利用2009年以来的各种Linux内核漏洞进行攻击。攻击成功后，会创建后门并安装各种恶意软件组件。

　　A：最有效的防护方法是禁用SSH密码认证，改用基于SSH密钥的认证，或将密码登录隐藏在VPN后面。同时需要实施SSH暴力破解速率限制，监控服务器访问，限制远程访问IP范围，并及时打补丁更新系统。

　　A：SSHStalker主要针对运行较旧Linux内核的服务器，包括版本2.6.18、2.6.18-164、2.6.31和2.6.37等。这些系统约占面向互联网Linux服务器的3%，在传统托管环境、废弃VPS和工业设备中比例可能达到10%。返回搜狐，查看更多