Оферта за отстъпка за множество лицензи
База данни за заплахи Ботнет мрежи Ботнет мрежата PolarEdge

Ботнет мрежата PolarEdge

До Mezo през Ботнет мрежиг
Превод на:

Изследователи по сигурността наскоро разкриха механиката на семейство ботнети, фокусирани върху рутери, наречено PolarEdge. Комбинацията от комуникация, базирана на TLS, вградени конфигурационни трикове и умишлени мерки против анализ го прави значителна заплаха за домашните и малките и средни предприятия.

Хронология и открития

Изследователите за първи път документират PolarEdge през февруари 2025 г., свързвайки го с кампании, насочени към рутери и NAS устройства от множество доставчици. До август 2025 г. анализаторите са картографирали голяма част от инфраструктурата на ботнета и са наблюдавали характеристики, съответстващи на мрежа от типа Operational Relay Box (ORB). Ретроспективна телеметрия предполага, че част от активността на PolarEdge може да датира чак от юни 2023 г.

Цели и първоначален достъп

Устройства от големи доставчици, включително Cisco, ASUS, QNAP и Synology, са идентифицирани като цели, което подчертава, че както рутери от корпоративен, така и потребителски клас и NAS системи са изложени на риск от експлоатация.

В атаките от февруари 2025 г., злонамерени лица са използвали известна уязвимост на Cisco (CVE-2023-20118), за да извлекат малък FTP-доставен shell скрипт с име „q“. Ролята на този скрипт е била да извлече и стартира задната вратичка PolarEdge ELF на компрометирания хост.

Дизайн на основни импланти

PolarEdge е ELF имплант с TLS-съвместимост, който основно:

  • Изпраща пръстов отпечатък на хоста към сървър за командване и контрол (C2), след което
  • Изчаква команди през вграден TLS сървър, реализиран с помощта на mbedTLS v2.8.0.

По подразбиране имплантът действа като TLS сървър, използвайки персонализиран двоичен протокол. Едно ключово поле на протокола е HasCommand: когато това поле е равно на ASCII символа 1, имплантът чете полето Command, изпълнява посочената команда локално и връща суровия изход на командата към C2.

Режими на работа

PolarEdge поддържа два допълнителни режима:

Режим на обратно свързване : имплантът се държи като TLS клиент, за да изтегля файлове от отдалечени сървъри.

Режим на отстраняване на грешки : интерактивен режим, който позволява на операторите да променят конфигурационни параметри (например адреси на сървъри) в движение.

Вградена конфигурация и обфускация

Ботнетът съхранява своята конфигурация по време на изпълнение в последните 512 байта на ELF изображението. Този блок е обфускиран с еднобайтов XOR; изследователите съобщават, че XOR ключът е 0x11, който трябва да се приложи за възстановяване на конфигурацията.

Файлови операции

След изпълнение, имплантът извършва премествания и премахвания на файлова система (примери включват преместване на двоични файлове като /usr/bin/wget и /sbin/curl и изтриване на файлове като /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Точното оперативно намерение зад тези действия не е напълно разбрано от наличните данни.

Техники за избягване и антианализ

PolarEdge включва набор от сложни защитни механизми, предназначени да избегнат откриването и да възпрепятстват анализа, което затруднява изследователите по сигурност и автоматизираните инструменти да идентифицират поведението му и да анализират вътрешните му механизми.

Той крие подробности за инициализацията на TLS сървъра и процедурите за снемане на пръстови отпечатъци чрез обфускация.

По време на стартиране, той извършва маскиране на процеси, като избира произволно име на процес от вграден списък, за да се слее с легитимните системни услуги.

Някои от възможните имена включват:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • UPNPD
  • онлайн приложение

Устойчивост без класическо постоянство

PolarEdge изглежда не инсталира традиционен механизъм за запазване на данните, който оцелява след рестартиране. Вместо това, той изпълнява трик по време на изпълнение: той се разклонява и дъщерният процес проверява на всеки 30 секунди дали директорията /proc/ на родителя все още съществува. Ако тази директория изчезне (което показва, че родителският процес е изчезнал), детето изпълнява команда в shell, за да рестартира задната вратичка, като по този начин ефективно осигурява опортюнистично възстановяване по време на изпълнение, а не постоянно запазване на данните по време на зареждане.

Защитни изводи

Организациите, управляващи рутери и NAS устройства, трябва да гарантират, че прилагат актуализации от доставчици и мерки за смекчаване на уязвимости за CVE-2023-20118 и подобни уязвимости за дистанционно изпълнение. Те трябва активно да наблюдават за необичайна TLS активност от мрежови устройства и изходящи връзки към неочаквани хостове. Също толкова важно е да се следи за признаци на маскиране на процеси и всякакви неоторизирани промени или изтривания на мрежови двоични файлове и уеб-ориентирани скриптове.

 

Тенденция

TechBrowser

Зловреден софтуер за Mac, Рекламен софтуер, Потенциално нежелани програми
След оценка от изследователи по информационна сигурност, приложението TechBrowser е идентифицирано като попадащо в категорията на рекламния софтуер. Тази класификация се основава на способността му...

American Express - Опитът за влизане беше блокиран -...

Фишинг, Спам
Киберпрестъпниците често използват познатостта на надеждните марки, за да примамят нищо неподозиращи потребители да разкрият чувствителна информация. Измамата „American Express - Опитът за влизане беше блокиран“ е отличен пример за тази тактика. Тези имейли се представят за предупреждения за сигурност от American Express, като твърдят, че подозрителен опит за влизане е блокиран и призовават...

Най-гледан

Зареждане...