Bench.sh в руках злоумышленников: бенчмаркинг VPS перед атакой

Короткий вывод: злоумышленники активно применяют легитимный скрипт Bench.sh на этапах постэксплуатации, чтобы оценить жизнеспособность скомпрометированных хостов перед развертыванием вредоносных инструментов. Эта практика делает Bench.sh важной частью их оперативного рабочего процесса и повышает риск того, что выполнение скрипта в инфраструктуре организации является признаком текущей злонамеренной активности.

«Bench.sh является критически важным компонентом в их оперативном рабочем процессе.»

Что обнаружено

Тесты в контролируемой лабораторной среде и мониторинг тематических площадок показали, что Bench.sh чаще всего используется для быстрой начальной оценки ресурсов хостов. Скрипт сам по себе выглядит безобидно и не выполняет явно злонамеренных действий, но его роль — выявить, способен ли хост поддерживать последующие операции злоумышленников:

• оценка CPU и GPU для майнинга;
• проверка I/O и disk performance;
• тестирование сетевой пропускной способности (bandwidth) для проксирования или DDoS;
• оценка пригодности перед развёртыванием панелей C2 и других инструментов.

Как применяют Bench.sh в атакующих операциях

Наблюдения на платформах типа Telegram и специализированных хакерских форумах показывают систематический процесс:

• после получения нового VPS злоумышленники запускают Bench.sh для быстрой валидации;
• запуск часто сопровождается скриптами геолокации и проверки маршрутизации, чтобы понять географию и стабильность инфраструктуры;
• по итогам тестов принимается решение о назначении хоста — майнинг, проксирование, DDoS или развёртывание C2;
• поведение напоминает легитимные операции по валидации производительности, что затрудняет детекцию.

Что это значит для команд безопасности

Появление Bench.sh в среде организации не обязательно указывает на компрометацию, но требует повышенного внимания, особенно если запуск происходит без административного контроля. Рекомендуемые шаги по обнаружению и реагированию:

• Коррелировать выполнение Bench.sh с другими индикаторами постэксплуатации: создание новых cron jobs, необычные исходящие соединения, скачивание панелей C2 и т.д.;
• создать детекции на неожиданные вызовы к Bench.sh (и аналогичным доменам/скриптам);
• отслеживать аномалии бенчмаркинга — резкие или бессмысленные тесты производительности на системах, где это нехарактерно;
• расследовать запуски Bench.sh, выполненные без прав администратора или от необычных пользователей/процессов;
• учесть контекст: запуск сразу после получения VPS или других изменений инфраструктуры повышает вероятность злоумышленной активности;
• внедрить мониторинг для скриптов геолокации и маршрутизации, которые часто сопровождают Bench.sh-запуски.

Практические рекомендации

Короткий чек‑лист для SOC и IR-команд:

• Сигнатуры и поведенческие правила для обнаружения запуска Bench.sh;
• корреляция с созданием cron jobs и сессиями удалённого доступа;
• блокировка/изоляция хостов с аномальными результатами бенчмаркинга до завершения расследования;
• обучение персонала на распознавание легитимных и подозрительных сценариев использования Bench.sh;
• проверка источников загрузки скрипта и связанных доменов/репозиториев.

Вывод

Bench.sh сам по себе — легитимный инструмент, но в руках злоумышленников он превращается в эффективный способ разведки возможностей инфраструктуры перед разрушительными или ресурсозатратными операциями. Команды безопасности должны воспринимать неожиданный запуск Bench.sh как потенциальный индикатор угрозы и применять коррелированную аналитику и оперативное расследование, чтобы своевременно выявлять и нейтрализовать связанные кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.