Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

[Guest Diary] New Malware Libraries means New Signatures, (Fri, May 15th)

1 minute de lecture

Mis à jour :

Évolution de la signature SSH du botnet Outlaw/Shellbot

La campagne de botnet « Outlaw » (alias Shellbot), active depuis 2018, maintient ses tactiques de persistance tout en mettant régulièrement à jour ses bibliothèques clientes SSH. Bien que le contenu malveillant (le fichier authorized_keys identifié par le SHA-256 a8460f4...) et les méthodes d’attaque restent inchangés, l’utilisation de nouvelles versions de libssh modifie son empreinte numérique (HASSH), rendant les anciennes règles de détection obsolètes.

Points clés

  • Stabilité des indicateurs : Le fichier authorized_keys, la chaîne de commentaire mdrfckr, les méthodes de désarmement défensif (chattr) et la liste des mots de passe utilisés sont stables depuis plusieurs années.
  • Évolution technique : Le botnet a migré vers libssh 0.11.1, générant un nouveau HASSH. Il s’agit de la troisième version majeure documentée pour cette campagne.
  • Comportement : Les attaques se caractérisent par des tentatives coordonnées mais limitées par IP pour contourner les outils de type fail2ban.

Vulnérabilités exploitées

  • Attaques par force brute : Exploitation de dictionnaires de mots de passe courants (ex: steam:Steam29!, root:root000@) pour accéder aux services SSH exposés.
  • Détournement de compte : Utilisation de chpasswd et modification des clés autorisées pour établir une persistance durable.

Recommandations pour les défenseurs

  • Mise à jour des règles de détection : Ajouter le nouveau HASSH 03a80b21afa810682a776a7d42e5e6fb (associé à SSH-2.0-libssh_0.11.1) aux outils de surveillance.
  • Prioriser les indicateurs robustes : Ne pas se reposer uniquement sur le HASSH, qui est sujet à changement. Privilégier la détection basée sur :
    • Le SHA-256 du fichier authorized_keys : a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2.
    • La chaîne de commentaire mdrfckr.
    • La séquence de commandes de reconnaissance et de nettoyage des concurrents.
  • Agrégation des alertes : Puisque le botnet limite le nombre de tentatives par adresse IP, il est crucial d’agréger les alertes par compte cible plutôt que par adresse IP source pour identifier efficacement les campagnes de force brute distribuées.

Source

Vous pourriez aimer