Slevová nabídka pro více licencí
Databáze hrozeb Botnety Botnet PolarEdge

Botnet PolarEdge

V roce Mezo v roce Botnety
Přeložit do:

Bezpečnostní výzkumníci nedávno odhalili mechaniku rodiny botnetů zaměřených na routery s názvem PolarEdge. Jejich kombinace komunikace založené na TLS, vestavěných konfiguračních triků a záměrných antianalytických opatření z nich činí významnou hrozbu pro domácí a malé a střední podniky.

Časová osa a objev

Výzkumníci poprvé zdokumentovali PolarEdge v únoru 2025 a propojili ho s kampaněmi zaměřenými na routery a NAS zařízení od různých dodavatelů. Do srpna 2025 analytici zmapovali velkou část infrastruktury botnetu a pozorovali rysy odpovídající síti typu Operational Relay Box (ORB). Retrospektivní telemetrie naznačuje, že některá aktivita PolarEdge by mohla sahat až do června 2023.

Cíle a počáteční přístup

Jako cíle byla identifikována zařízení od významných dodavatelů, včetně společností Cisco, ASUS, QNAP a Synology, což zdůrazňuje, že riziku zneužití jsou vystaveny jak podnikové, tak i spotřebitelské routery a systémy NAS.

V únorových útokech z roku 2025 zneužili útočníci známou zranitelnost společnosti Cisco (CVE-2023-20118) k načtení malého skriptu s názvem „q“ doručovaného přes FTP. Úlohou tohoto skriptu bylo načíst a spustit zadní vrátka PolarEdge ELF na napadeném hostiteli.

Návrh jádrového implantátu

PolarEdge je implantát ELF s podporou TLS, který primárně:

  • Odešle otisk hostitele na server velení a řízení (C2) a poté
  • Čeká na příkazy přes vestavěný TLS server implementovaný pomocí mbedTLS v2.8.0.

Výchozí chování implantátu je fungovat jako TLS server s použitím vlastního binárního protokolu. Jedním z klíčových polí protokolu je HasCommand: pokud se toto pole rovná znaku ASCII 1, implantát přečte pole Command, provede zadaný příkaz lokálně a vrátí nezpracovaný výstup příkazu do C2.

Provozní režimy

PolarEdge podporuje dva další režimy:

Režim zpětného připojení : implantát se chová jako klient TLS a stahuje soubory ze vzdálených serverů.

Režim ladění : interaktivní režim, který umožňuje operátorům měnit konfigurační parametry (například adresy serverů) za chodu.

Vestavěná konfigurace a zmatení

Botnet ukládá svou běhovou konfiguraci do posledních 512 bajtů obrazu ELF. Tento blok je obfuskován jednobajtovým XOR; vědci uvádějí, že klíč XOR je 0x11, který je nutné použít k obnovení konfigurace.

Operace se soubory

Po spuštění implantát provádí přesuny a odstraňování souborového systému (příklady zahrnují přesun binárních souborů, jako jsou /usr/bin/wget a /sbin/curl, a mazání souborů, jako je /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Přesný operační záměr těchto akcí není z dostupných dat plně objasněn.

Techniky úniku a antianalýzy

PolarEdge obsahuje řadu sofistikovaných obranných mechanismů, které mají za cíl vyhnout se detekci a ztížit analýzu, což bezpečnostním výzkumníkům a automatizovaným nástrojům ztěžuje identifikaci jeho chování a analýzu jeho vnitřního fungování.

Skrývá podrobnosti o inicializaci a otiskech prstů TLS serveru pomocí obfuskace.

Během spouštění provádí maskování procesů, náhodně vybírá název procesu z vestavěného seznamu, aby se splynul s legitimními systémovými službami.

Mezi možná jména patří:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iPhApp

Odolnost bez klasické vytrvalosti

Zdá se, že PolarEdge neinstaluje tradiční mechanismus perzistence, který by přežil restart. Místo toho provádí běhový trik: provede fork a podřízený proces se každých 30 sekund dotazuje, zda stále existuje adresář /proc/ rodičovského procesu. Pokud tento adresář zmizí (což znamená, že nadřazený proces zmizel), podřízený proces spustí příkaz shellu pro restartování zadních vrátek, čímž efektivně poskytuje oportunistickou obnovu za běhu spíše než trvalou perzistenci za bootování.

Obranné poznatky

Organizace spravující routery a zařízení NAS by měly zajistit, aby používaly aktualizace a opatření od dodavatelů pro zranitelnosti CVE-2023-20118 a podobné zranitelnosti umožňující vzdálené spuštění. Měly by aktivně sledovat neobvyklou aktivitu TLS ze síťových zařízení a odchozí připojení k neočekávaným hostitelům. Stejně důležité je sledovat známky maskování procesů a jakékoli neoprávněné změny nebo smazání síťových binárních souborů a webových skriptů.

 

Trendy

American Express - Pokus o přihlášení byl zablokován...

Phishing, Spam
Kyberzločinci často zneužívají známost důvěryhodných značek k nalákání nic netušících uživatelů k odhalení citlivých informací. Podvod „American Express – Pokus o přihlášení byl zablokován“ je ukázkovým příkladem této taktiky. Tyto e-maily napodobují bezpečnostní upozornění od společnosti American Express, tvrdí, že byl zablokován podezřelý pokus o přihlášení, a naléhají na příjemce, aby...

Nejvíce shlédnuto

Načítání...