PolarEdge Botnet
Ερευνητές ασφαλείας πρόσφατα αποκάλυψαν τους μηχανισμούς μιας οικογένειας botnet που επικεντρώνεται σε δρομολογητές και ονομάζεται PolarEdge. Ο συνδυασμός επικοινωνίας που βασίζεται σε TLS, ενσωματωμένων κόλπων διαμόρφωσης και σκόπιμων μέτρων κατά της ανάλυσης την καθιστούν αξιοσημείωτη απειλή για οικιακές και μικρομεσαίες συσκευές δικτύου.
Πίνακας περιεχομένων
Χρονολόγιο και Ανακάλυψη
Οι ερευνητές κατέγραψαν για πρώτη φορά το PolarEdge τον Φεβρουάριο του 2025, συνδέοντάς το με καμπάνιες που στόχευαν δρομολογητές και συσκευές NAS από πολλούς προμηθευτές. Μέχρι τον Αύγουστο του 2025, οι αναλυτές είχαν χαρτογραφήσει μεγάλο μέρος της υποδομής του botnet και είχαν παρατηρήσει χαρακτηριστικά που συνάδουν με ένα δίκτυο τύπου Operational Relay Box (ORB). Η αναδρομική τηλεμετρία υποδηλώνει ότι κάποια δραστηριότητα του PolarEdge μπορεί να χρονολογείται έως και τον Ιούνιο του 2023.
Στόχοι και Αρχική Πρόσβαση
Συσκευές από μεγάλους προμηθευτές, συμπεριλαμβανομένων των Cisco, ASUS, QNAP και Synology, έχουν αναγνωριστεί ως στόχοι, υπογραμμίζοντας ότι τόσο οι δρομολογητές όσο και τα συστήματα NAS εταιρικού και καταναλωτικού επιπέδου διατρέχουν κίνδυνο εκμετάλλευσης.
Στις αλυσίδες επιθέσεων του Φεβρουαρίου 2025, οι απειλητικοί παράγοντες εκμεταλλεύτηκαν μια γνωστή ευπάθεια της Cisco (CVE-2023-20118) για να ανακτήσουν ένα μικρό σενάριο κελύφους που παραδόθηκε μέσω FTP με το όνομα 'q'. Ο ρόλος αυτού του σεναρίου ήταν να ανακτήσει και να εκκινήσει το backdoor PolarEdge ELF στον παραβιασμένο κεντρικό υπολογιστή.
Σχεδιασμός εμφυτεύματος πυρήνα
Το PolarEdge είναι ένα εμφύτευμα ELF με δυνατότητα TLS που κυρίως:
- Στέλνει ένα δακτυλικό αποτύπωμα κεντρικού υπολογιστή σε έναν διακομιστή εντολών και ελέγχου (C2) και, στη συνέχεια,
- Αναμένει εντολές μέσω ενός ενσωματωμένου διακομιστή TLS που έχει υλοποιηθεί με χρήση του mbedTLS v2.8.0.
Η προεπιλεγμένη συμπεριφορά του εμφυτεύματος είναι να λειτουργεί ως διακομιστής TLS χρησιμοποιώντας ένα προσαρμοσμένο δυαδικό πρωτόκολλο. Ένα βασικό πεδίο πρωτοκόλλου είναι το HasCommand: όταν αυτό το πεδίο ισούται με τον χαρακτήρα ASCII 1, το εμφύτευμα διαβάζει το πεδίο Command, εκτελεί την καθορισμένη εντολή τοπικά και επιστρέφει την ακατέργαστη έξοδο εντολής στο C2.
Τρόποι λειτουργίας
Το PolarEdge υποστηρίζει δύο επιπλέον λειτουργίες:
Λειτουργία επανασύνδεσης : το εμφύτευμα συμπεριφέρεται ως πελάτης TLS για την ανάκτηση αρχείων από απομακρυσμένους διακομιστές.
Λειτουργία εντοπισμού σφαλμάτων : μια διαδραστική λειτουργία που επιτρέπει στους χειριστές να αλλάζουν τις παραμέτρους διαμόρφωσης (για παράδειγμα, διευθύνσεις διακομιστή) εν κινήσει.
Ενσωματωμένη διαμόρφωση και συσκότιση
Το botnet αποθηκεύει τη διαμόρφωση χρόνου εκτέλεσης μέσα στα τελικά 512 byte της εικόνας ELF. Αυτό το μπλοκ καλύπτεται από ένα XOR ενός byte. Οι ερευνητές αναφέρουν ότι το κλειδί XOR είναι 0x11, το οποίο πρέπει να εφαρμοστεί για την ανάκτηση της διαμόρφωσης.
Λειτουργίες αρχείων
Μετά την εκτέλεση, το εμφύτευμα εκτελεί μετακινήσεις και αφαιρέσεις του συστήματος αρχείων (παραδείγματα περιλαμβάνουν τη μετακίνηση δυαδικών αρχείων όπως /usr/bin/wget και /sbin/curl, και τη διαγραφή αρχείων όπως /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Ο ακριβής λειτουργικός σκοπός πίσω από αυτές τις ενέργειες δεν είναι πλήρως κατανοητός από τα διαθέσιμα δεδομένα.
Τεχνικές αποφυγής και αντι-ανάλυσης
Το PolarEdge ενσωματώνει μια σειρά από εξελιγμένους αμυντικούς μηχανισμούς που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό και να εμποδίζουν την ανάλυση, καθιστώντας πιο δύσκολο για τους ερευνητές ασφαλείας και τα αυτοματοποιημένα εργαλεία να εντοπίσουν τη συμπεριφορά του και να αναλύσουν τις εσωτερικές του λειτουργίες.
Αποκρύπτει λεπτομέρειες σχετικά με την αρχικοποίηση του διακομιστή TLS και τις ρουτίνες δακτυλικών αποτυπωμάτων μέσω συσκότισης.
Κατά την εκκίνηση, εκτελεί μεταμφίεση διεργασιών, επιλέγοντας τυχαία ένα όνομα διεργασίας από μια ενσωματωμένη λίστα για να συνδυαστεί με νόμιμες υπηρεσίες συστήματος.
Μερικά από τα πιθανά ονόματα περιλαμβάνουν:
- igmpproxy
- wscd
- /sbin/dhcpd
- httpd
- upnpd
- εφαρμογή iapp
Ανθεκτικότητα χωρίς κλασική επιμονή
Το PolarEdge δεν φαίνεται να εγκαθιστά έναν παραδοσιακό μηχανισμό persistence που να επιβιώνει από επανεκκινήσεις. Αντίθετα, εκτελεί ένα κόλπο κατά τον χρόνο εκτέλεσης: διακλαδώνεται και η θυγατρική διεργασία κάνει polling κάθε 30 δευτερόλεπτα για να ελέγξει εάν ο κατάλογος /proc/ της γονικής διεργασίας εξακολουθεί να υπάρχει. Εάν αυτός ο κατάλογος εξαφανιστεί (υποδεικνύοντας ότι η γονική διεργασία έχει εξαφανιστεί), το θυγατρικό εκτελεί μια εντολή shell για να επανεκκινήσει το backdoor, παρέχοντας ουσιαστικά ευκαιριακή αποκατάσταση κατά τον χρόνο εκτέλεσης αντί για μόνιμη persistence κατά την εκκίνηση.
Αμυντικά συμπεράσματα
Οι οργανισμοί που διαχειρίζονται δρομολογητές και συσκευές NAS θα πρέπει να διασφαλίζουν ότι εφαρμόζουν ενημερώσεις και μετριασμούς προμηθευτών για το CVE-2023-20118 και παρόμοια τρωτά σημεία απομακρυσμένης εκτέλεσης. Θα πρέπει να παρακολουθούν ενεργά για ασυνήθιστη δραστηριότητα TLS από συσκευές δικτύου και εξερχόμενες συνδέσεις σε μη αναμενόμενους κεντρικούς υπολογιστές. Είναι εξίσου σημαντικό να παρακολουθείτε για σημάδια μεταμφίεσης διεργασιών και τυχόν μη εξουσιοδοτημένες αλλαγές ή διαγραφές δυαδικών αρχείων δικτύου και σεναρίων ιστού.
