SSHStalker Botnet: Eski Linux Çekirdek Açıklarıyla IRC Tabanlı Kalıcı Erişim Sağlanıyor

Saldırının Genel Çerçevesi

SSHStalker, IRC (Internet Relay Chat) protokolü üzerinden komut ve kontrol (C2) iletişimi kuran bir botnet olarak ortaya çıktı. 2009-2010 yıllarına ait Linux çekirdek zafiyetlerini (örneğin CVE-2009-2692, CVE-2010-3849 gibi) kullanarak, özellikle güncellenmemiş eski Linux sistemlerine odaklanıyor. Botnet, port 22 üzerinden açık SSH sunucularını tarayan Golang tabanlı bir solucan modülüyle yayılıyor ve ele geçirilen sistemleri IRC kanallarına kaydederek kontrol ediyor.

Diğer botnetlerin aksine, SSHStalker doğrudan DDoS, kripto madenciliği veya proxy ele geçirme gibi sonradan sömürü faaliyetleri gerçekleştirmiyor. Bunun yerine, kalıcı erişim sağlamak için gelişmiş rootkitler ve günlük temizleyiciler (utmp, wtmp, lastlog tahrifatı) kullanarak kötü amaçlı faaliyet izlerini siliyor. Bu davranış, ele geçirilen altyapının sahneleme, test veya gelecekteki stratejik saldırılar için hazır tutulduğunu gösteriyor.

Saldırı Zinciri ve Teknik Detaylar

SSHStalker’ın saldırı zinciri şu şekilde özetlenebilir:

• Port 22 üzerinde açık SSH sunucularını Golang tabanlı otomatik tarayıcı ile keşfetme.
• Eski Linux çekirdek zafiyetlerini (örneğin CVE-2009-2692, CVE-2010-1173) kullanarak sistemlere sızma.
• UnrealIRCd tabanlı IRC sunucusuna bağlanarak C2 kanalına katılma ve komut alma.
• Perl ve C dillerinde yazılmış bot yükleri ile sistemde kalıcılık sağlama ve günlük kayıtlarını temizleme.
• Güvenlik araçları tarafından sonlandırılan ana kötü amaçlı süreçlerin “keep-alive” bileşeni sayesinde 60 saniye içinde yeniden başlatılması.

Bu teknikler, MITRE ATT&CK matrisinde Persistence (kalıcılık), Defense Evasion (savunma atlatma) ve Command and Control (komut ve kontrol) kategorilerine karşılık gelmektedir.

Hedefler ve Bölgesel Bağlam

SSHStalker, özellikle uzun ömürlü ve güncellenmemiş Linux altyapılarını hedefliyor. Bu durum, kritik altyapılar, eski sunucu ortamları ve bazı KOBİ’ler için risk oluşturuyor. Yapılan analizlerde, tehdit aktörünün Romen kökenli olabileceği ve Outlaw (Dota) adlı hacker grubuyla bağlantılarının bulunduğu öne sürülüyor. Operasyonun altyapısında AWS sırlarını çalmak için Python tabanlı “website grabber” gibi araçlar da yer alıyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

• Linux sistemlerde 2009-2010 dönemine ait çekirdek yamalarını ve güncellemelerini mutlaka uygulayın.
• SSH erişimlerini mümkün olduğunca MFA (Çok Faktörlü Kimlik Doğrulama) ile koruyun ve gereksiz port 22 erişimlerini kısıtlayın.
• EDR ve SIEM çözümlerinde utmp, wtmp ve lastlog gibi günlük dosyalarının anormal değişikliklerini izleyin.
• IRC protokolü üzerinden gelen anormal ağ trafiği ve port 6667 gibi IRC portlarında beklenmedik bağlantıları tespit edin.
• Rootkit tespiti için düzenli olarak güvenlik araçları ve imza tabanlı taramalar yapın.
• Firewall kurallarında SSH tarayıcı trafiğini engelleyecek kısıtlamalar uygulayın ve ağ segmentasyonu ile kritik sistemleri izole edin.
• Olay müdahale (incident response) planlarınızı, kalıcı erişim ve gizlilik sağlayan tehditlere karşı güncelleyin.
• Bulut ortamlarında IAM politikalarını sıkılaştırarak, AWS gibi servislerdeki sırların çalınmasını önleyin.

Kurumsal Ortamlarda Olası Senaryo

Örneğin, bir finans kurumu eski Linux tabanlı sunucularını güncellemediğinde, SSHStalker botneti bu sunucuları hedef alabilir. Port 22 taramasıyla sisteme sızan botnet, rootkit ve günlük temizleyicilerle izlerini silerek kalıcı erişim sağlar. Ardından, IRC kanalları üzerinden komut alarak altyapıyı sahneleme veya ileri saldırılar için hazır tutar. Bu durum, kurumun ağ segmentasyonu ve erişim kontrolleri zayıfsa, daha geniş çaplı veri ihlallerine veya hizmet kesintilerine yol açabilir.