Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Bench.sh в руках злоумышленников: бенчмаркинг VPS перед атакой

1
3 мин
Короткий вывод: злоумышленники активно применяют легитимный скрипт Bench.sh на этапах постэксплуатации, чтобы оценить жизнеспособность скомпрометированных хостов перед развертыванием вредоносных инструментов. Эта практика делает Bench.sh важной частью их оперативного рабочего процесса и повышает риск того, что выполнение скрипта в инфраструктуре организации является признаком текущей злонамеренной активности. «Bench.sh является критически важным компонентом в их оперативном рабочем процессе.» Тесты в контролируемой лабораторной среде и мониторинг тематических площадок показали, что Bench.sh чаще всего используется для быстрой начальной оценки ресурсов хостов. Скрипт сам по себе выглядит безобидно и не выполняет явно злонамеренных действий, но его роль — выявить, способен ли хост поддерживать последующие операции злоумышленников: Наблюдения на платформах типа Telegram и специализированных хакерских форумах показывают систематический процесс: Появление Bench.sh в среде организации не обя
Оглавление

Короткий вывод: злоумышленники активно применяют легитимный скрипт Bench.sh на этапах постэксплуатации, чтобы оценить жизнеспособность скомпрометированных хостов перед развертыванием вредоносных инструментов. Эта практика делает Bench.sh важной частью их оперативного рабочего процесса и повышает риск того, что выполнение скрипта в инфраструктуре организации является признаком текущей злонамеренной активности.

«Bench.sh является критически важным компонентом в их оперативном рабочем процессе.»

Что обнаружено

Тесты в контролируемой лабораторной среде и мониторинг тематических площадок показали, что Bench.sh чаще всего используется для быстрой начальной оценки ресурсов хостов. Скрипт сам по себе выглядит безобидно и не выполняет явно злонамеренных действий, но его роль — выявить, способен ли хост поддерживать последующие операции злоумышленников:

  • оценка CPU и GPU для майнинга;
  • проверка I/O и disk performance;
  • тестирование сетевой пропускной способности (bandwidth) для проксирования или DDoS;
  • оценка пригодности перед развёртыванием панелей C2 и других инструментов.

Как применяют Bench.sh в атакующих операциях

Наблюдения на платформах типа Telegram и специализированных хакерских форумах показывают систематический процесс:

  • после получения нового VPS злоумышленники запускают Bench.sh для быстрой валидации;
  • запуск часто сопровождается скриптами геолокации и проверки маршрутизации, чтобы понять географию и стабильность инфраструктуры;
  • по итогам тестов принимается решение о назначении хоста — майнинг, проксирование, DDoS или развёртывание C2;
  • поведение напоминает легитимные операции по валидации производительности, что затрудняет детекцию.

Что это значит для команд безопасности

Появление Bench.sh в среде организации не обязательно указывает на компрометацию, но требует повышенного внимания, особенно если запуск происходит без административного контроля. Рекомендуемые шаги по обнаружению и реагированию:

  • Коррелировать выполнение Bench.sh с другими индикаторами постэксплуатации: создание новых cron jobs, необычные исходящие соединения, скачивание панелей C2 и т.д.;
  • создать детекции на неожиданные вызовы к Bench.sh (и аналогичным доменам/скриптам);
  • отслеживать аномалии бенчмаркинга — резкие или бессмысленные тесты производительности на системах, где это нехарактерно;
  • расследовать запуски Bench.sh, выполненные без прав администратора или от необычных пользователей/процессов;
  • учесть контекст: запуск сразу после получения VPS или других изменений инфраструктуры повышает вероятность злоумышленной активности;
  • внедрить мониторинг для скриптов геолокации и маршрутизации, которые часто сопровождают Bench.sh-запуски.

Практические рекомендации

Короткий чек‑лист для SOC и IR-команд:

  • Сигнатуры и поведенческие правила для обнаружения запуска Bench.sh;
  • корреляция с созданием cron jobs и сессиями удалённого доступа;
  • блокировка/изоляция хостов с аномальными результатами бенчмаркинга до завершения расследования;
  • обучение персонала на распознавание легитимных и подозрительных сценариев использования Bench.sh;
  • проверка источников загрузки скрипта и связанных доменов/репозиториев.

Вывод

Bench.sh сам по себе — легитимный инструмент, но в руках злоумышленников он превращается в эффективный способ разведки возможностей инфраструктуры перед разрушительными или ресурсозатратными операциями. Команды безопасности должны воспринимать неожиданный запуск Bench.sh как потенциальный индикатор угрозы и применять коррелированную аналитику и оперативное расследование, чтобы своевременно выявлять и нейтрализовать связанные кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Bench.sh в руках злоумышленников: бенчмаркинг VPS перед атакой".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.