Rabattilbud med flere licenser
Trusseldatabase Botnets PolarEdge Botnet

PolarEdge Botnet

Med Mezo i Botnets
Oversæt til:

Sikkerhedsforskere har for nylig afdækket mekanismerne bag en router-fokuseret botnet-familie kaldet PolarEdge. Kombinationen af TLS-baseret kommunikation, indlejrede konfigurationstricks og bevidste anti-analyse-foranstaltninger gør den til en betydelig trussel mod netværksapparater i hjemmet og SMV'er.

Tidslinje og opdagelse

Forskere dokumenterede PolarEdge første gang i februar 2025 og forbandt det med kampagner, der var målrettet mod routere og NAS-enheder fra flere leverandører. I august 2025 havde analytikere kortlagt en stor del af botnettets infrastruktur og observeret træk, der stemte overens med et netværk i stil med et operationelt relæboks (ORB). Retrospektiv telemetri tyder på, at noget PolarEdge-aktivitet kan gå helt tilbage til juni 2023.

Mål og indledende adgang

Enheder fra store leverandører, herunder Cisco, ASUS, QNAP og Synology, er blevet identificeret som mål, hvilket understreger, at både routere og NAS-systemer i virksomheds- og forbrugerklassen er i risiko for udnyttelse.

I angrebskæderne i februar 2025 udnyttede trusselsaktører en kendt Cisco-sårbarhed (CVE-2023-20118) til at hente et lille FTP-leveret shell-script ved navn 'q'. Scriptets rolle var at hente og starte PolarEdge ELF-bagdøren på den kompromitterede vært.

Design af kerneimplantat

PolarEdge er et TLS-kompatibelt ELF-implantat, der primært:

  • Sender et værtsfingeraftryk til en kommando-og-kontrol (C2) server, og derefter
  • Venter på kommandoer over en indbygget TLS-server implementeret ved hjælp af mbedTLS v2.8.0.

Implantatets standardfunktion er at fungere som en TLS-server ved hjælp af en brugerdefineret binær protokol. Et nøgleprotokolfelt er HasCommand: når dette felt er lig med ASCII-tegnet 1, læser implantatet kommandofeltet, udfører den angivne kommando lokalt og returnerer det rå kommandooutput til C2.

Driftstilstande

PolarEdge understøtter to yderligere tilstande:

Tilslutningstilstand : Implantatet fungerer som en TLS-klient og henter filer fra eksterne servere.

Fejlfindingstilstand : en interaktiv tilstand, der giver operatører mulighed for at ændre konfigurationsparametre (f.eks. serveradresser) undervejs.

Indlejret konfiguration og obfuskation

Botnettet gemmer sin runtime-konfiguration i de sidste 512 bytes af ELF-billedet. Denne blok er tilsløret med en enkeltbyte XOR; forskerne rapporterer, at XOR-nøglen er 0x11, som skal anvendes for at gendanne konfigurationen.

Filoperationer

Efter udførelse udfører implantatet flytninger og fjernelser af filsystemer (eksempler inkluderer flytning af binære filer såsom /usr/bin/wget og /sbin/curl, og sletning af filer såsom /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Den præcise operationelle hensigt bag disse handlinger er ikke fuldt ud forstået ud fra de tilgængelige data.

Undvigelses- og antianalyseteknikker

PolarEdge inkorporerer en række sofistikerede forsvarsmekanismer designet til at undgå detektion og hindre analyse, hvilket gør det vanskeligere for sikkerhedsforskere og automatiserede værktøjer at identificere dens adfærd og dissekere dens indre funktioner.

Den skjuler detaljer om sin TLS-serverinitialisering og fingeraftryksrutiner via tilsløring.

Under opstart udfører den procesmaskering ved tilfældigt at vælge et procesnavn fra en indbygget liste for at blande sig med legitime systemtjenester.

Nogle af de mulige navne inkluderer:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Modstandsdygtighed uden klassisk vedholdenhed

PolarEdge ser ikke ud til at installere en traditionel persistensmekanisme, der overlever genstart. I stedet udfører den et runtime-trick: den forker, og den underordnede proces foretager en poll hvert 30. sekund for at kontrollere, om forældremappen /proc/ stadig eksisterer. Hvis den mappe forsvinder (hvilket indikerer, at forældreprocessen er væk), kører den underordnede proces en shell-kommando for at genstarte bagdøren, hvilket effektivt giver opportunistisk runtime-gendannelse i stedet for permanent boot-time persistens.

Defensive konklusioner

Organisationer, der administrerer routere og NAS-enheder, bør sikre, at de anvender leverandøropdateringer og -afhjælpninger for CVE-2023-20118 og lignende fjernudførelsessårbarheder. De bør aktivt overvåge usædvanlig TLS-aktivitet fra netværksapparater og udgående forbindelser til uventede værter. Det er lige så vigtigt at være opmærksom på tegn på procesmaskering og eventuelle uautoriserede ændringer eller sletninger af netværksbinære filer og webvendte scripts.


Trending

Mest sete

Indlæser...