พบ Linux Botnet SSHStalker ใช้ IRC
พบ Linux Botnet ใหม่ “SSHStalker” ใช้ IRC แบบเก่าเป็น C2 ⚠️🐧
นักวิจัยด้าน Threat Intelligence จากบริษัท Flare เปิดเผยการค้นพบ บอตเน็ต Linux ตัวใหม่ชื่อ SSHStalker ซึ่งมีจุดเด่นคือการใช้โปรโตคอล IRC (Internet Relay Chat) แบบดั้งเดิมในการสื่อสาร Command-and-Control (C2)
IRC เป็นโปรโตคอลที่ถูกพัฒนาขึ้นตั้งแต่ปี 1988 และได้รับความนิยมสูงสุดในช่วงยุค 1990s แม้ปัจจุบันจะไม่ใช่เทคโนโลยีหลัก แต่ยังคงได้รับความนิยมในกลุ่มเทคนิค เนื่องจาก:
-
โครงสร้างเรียบง่าย
-
ใช้แบนด์วิดท์ต่ำ
-
ไม่ต้องมี GUI
-
รองรับการเชื่อมต่อข้ามระบบได้ดี
และตอนนี้แฮกเกอร์กำลังนำแนวคิด “เก่าแต่ทน” กลับมาใช้อีกครั้ง 😨
🔎 SSHStalker ทำงานอย่างไร?
SSHStalker ไม่ได้ใช้ C2 Framework สมัยใหม่ แต่เลือกใช้แนวทางคลาสสิก เช่น:
-
บอตเขียนด้วยภาษา C
-
ใช้หลายเซิร์ฟเวอร์ IRC และหลาย Channel เพื่อความทนทาน
-
เน้นขยายขนาด (Scale) มากกว่าความลับ (Stealth)
นักวิจัยระบุว่าเป็น “botnet kit แบบต่อประกอบ” ที่เน้นความเสถียรและต้นทุนต่ำมากกว่าความซับซ้อนทางเทคนิค
🚨 วิธีการแพร่กระจาย (Worm-like Propagation)
SSHStalker เริ่มต้นด้วย:
-
สแกนหาเครื่องที่เปิด SSH
-
ทำการ brute force รหัสผ่าน
-
ใช้ไฟล์ Go ปลอมตัวเป็นเครื่องมือ nmap
-
เมื่อเจาะระบบได้ จะใช้เครื่องนั้นสแกนหาเหยื่อรายใหม่ต่อ
พบว่ามีผลการสแกนเกือบ 7,000 เครื่องในเดือนเดียว โดยเน้นเป้าไปที่ Cloud Hosting โดยเฉพาะ Oracle Cloud Infrastructure ☁️
🛠 เทคนิคหลังติดเครื่อง (Post-Exploitation)
หลังติดเครื่องสำเร็จ มัลแวร์จะ:
-
ดาวน์โหลด GCC Compiler มาคอมไพล์ payload บนเครื่องเหยื่อ
-
ฝัง IRC bot พร้อม C2 server แบบ hard-coded
-
ใช้ไฟล์ชื่อ GS และ bootbou สำหรับควบคุมลำดับการทำงาน
-
สร้าง persistence ผ่าน cron job ทุก 60 วินาที ⏱️
หาก process ถูกปิด ระบบจะเปิดใหม่อัตโนมัติ
🧨 ใช้ช่องโหว่เก่ากว่า 15 ปี
SSHStalker ยังมี exploit สำหรับ 16 CVEs เก่า (Linux Kernel ปี 2009-2010) เพื่อยกระดับสิทธิ์หลังจาก brute force สำเร็จ
แนวคิดคือ “ใช้ของเก่า แต่ยังได้ผล” เพราะหลายระบบยังไม่ได้แพตช์ 😬
💰 เป้าหมายการทำเงิน (Monetization)
นักวิจัยพบว่า SSHStalker มีความสามารถดังนี้:
-
ขโมย AWS Keys
-
สแกนเว็บไซต์
-
ฝัง Crypto Miner เช่น PhoenixMiner (Ethereum) ⛏️
-
มีฟังก์ชัน DDoS (ยังไม่พบการใช้งานจริง)
ปัจจุบันบอตส่วนใหญ่เพียงเชื่อมต่อ C2 และรอคำสั่ง อาจเป็นช่วงทดสอบหรือสะสมเครื่องเป้าหมาย
🛡️ วิธีป้องกัน Linux Server จาก SSHStalker
องค์กรควรดำเนินการดังนี้:
-
ปิดการใช้งาน SSH แบบ Password (ใช้ Key Authentication แทน)
-
ลบ compiler ออกจาก production image
-
ทำ Egress Filtering จำกัดการเชื่อมต่อออกภายนอก
-
บล็อกการรันไฟล์จาก
/dev/shm -
เฝ้าระวัง IRC-style outbound traffic
-
ตรวจสอบ cron job ที่รันถี่ผิดปกติ
🏢 ความสำคัญสำหรับองค์กรและ Cloud Infrastructure
บอตเน็ตลักษณะนี้มักโจมตีเซิร์ฟเวอร์ Cloud และระบบ Linux Production ซึ่งหลายองค์กรใช้งานอยู่โดยไม่รู้ตัว
หากไม่มีทีมดูแลเชิงลึก อาจตรวจไม่พบความผิดปกติ เช่น:
-
มีการติดตั้ง compiler บน production server
-
มี cron job รันทุก 60 วินาที
-
มีการเชื่อมต่อ IRC ออกนอกองค์กร
การใช้บริการ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ สามารถช่วยตรวจสอบ Log, วางระบบ Monitoring, ทำ Hardening Server และจัดการ Patch Management ได้อย่างมืออาชีพ 🔐
โดยเฉพาะองค์กรที่ใช้ Cloud หรือมี Linux Server จำนวนมาก ควรมีผู้เชี่ยวชาญดูแลความปลอดภัยตลอด 24/7
📌 สรุป
SSHStalker เป็นตัวอย่างชัดเจนของภัยไซเบอร์ที่ใช้ “เทคนิคเก่า แต่ยังได้ผล” โดยอาศัย IRC, SSH brute force และ CVE เก่ามากกว่า 10 ปี
แม้จะไม่ซับซ้อน แต่สามารถขยายตัวได้รวดเร็วและสร้างความเสียหายสูง หากระบบไม่ได้รับการป้องกันอย่างเหมาะสม ⚠️
องค์กรควรเร่งตรวจสอบระบบ Linux และ Cloud Infrastructure ของตนเอง และวางมาตรการป้องกันเชิงรุกก่อนจะตกเป็นเหยื่อ 🌐
ที่มา – https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/