Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Botivõrgud PolarEdge'i botnet

PolarEdge'i botnet

Aastaks Mezo aastal Botivõrgud
Tõlgi:

Turvauurijad on hiljuti lahti pakkinud ruuterikeskse botnetiperekonna PolarEdge mehhanismi. Selle TLS-põhise suhtluse, manustatud konfiguratsioonitrikkide ja tahtlike analüüsivastaste meetmete kombinatsioon muudab selle märkimisväärseks ohuks kodu- ja VKEde võrguseadmetele.

Ajajoon ja avastus

Teadlased dokumenteerisid PolarEdge'i esmakordselt 2025. aasta veebruaris, sidudes selle kampaaniatega, mis olid suunatud mitme müüja ruuteritele ja NAS-seadmetele. 2025. aasta augustiks olid analüütikud kaardistanud suure osa botneti infrastruktuurist ja täheldanud tunnuseid, mis olid kooskõlas operatiivse releekasti (ORB) stiilis võrguga. Retrospektiivne telemeetria viitab sellele, et osa PolarEdge'i tegevusest võib ulatuda juba 2023. aasta juunini.

Sihtmärgid ja esialgne juurdepääs

Sihtmärkidena on tuvastatud suurte müüjate, sealhulgas Cisco, ASUSe, QNAPi ja Synology seadmed, mis rõhutab, et nii ettevõtte- kui ka tarbijaklassi ruuterid ja NAS-süsteemid on ärakasutamise ohus.

2025. aasta veebruari rünnakuahelates kasutasid ründajad ära teadaolevat Cisco haavatavust (CVE-2023-20118), et hankida väike FTP kaudu edastatud shelliskript nimega 'q'. Selle skripti ülesanne oli hankida ja käivitada kahjustatud hostil PolarEdge ELF-tagauks.

Südamiku implantaadi disain

PolarEdge on TLS-võimeline ELF-implantaat, mis peamiselt:

  • Saadab hosti sõrmejälje juhtimis- ja juhtimisserverisse (C2) ja seejärel
  • Ootab sisseehitatud TLS-serveri kaudu käske, mis on rakendatud mbedTLS v2.8.0 abil.

Implantaadi vaikekäitumine on toimida TLS-serverina, kasutades kohandatud binaarprotokolli. Üks protokolli võtmeväli on HasCommand: kui see väli võrdub ASCII-tähemärgiga 1, loeb implantaat käsuvälja, käivitab määratud käsu lokaalselt ja tagastab toore käsu väljundi C2-le.

Töörežiimid

PolarEdge toetab kahte täiendavat režiimi:

Tagasiühenduse režiim : implantaat käitub TLS-kliendina failide kaugserveritest tõmbamiseks.

Silumisrežiim : interaktiivne režiim, mis võimaldab operaatoritel konfiguratsiooniparameetreid (näiteks serveri aadresse) reaalajas muuta.

Sisseehitatud konfiguratsioon ja hägustamine

Botnet salvestab oma käitusaja konfiguratsiooni ELF-pildi viimasesse 512 baiti. See plokk on hägustatud ühebaidise XOR-võtmega; teadlaste sõnul on XOR-võti 0x11, mida tuleb konfiguratsiooni taastamiseks rakendada.

Failitoimingud

Pärast käivitamist teostab implantaat failisüsteemi teisaldamisi ja eemaldamisi (näidete hulka kuuluvad binaarfailide (nt /usr/bin/wget ja /sbin/curl) teisaldamine ning failide (nt /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak) kustutamine). Nende toimingute täpne operatiivne eesmärk ei ole olemasolevate andmete põhjal täielikult mõistetav.

Vältimise ja analüüsivastased tehnikad

PolarEdge sisaldab mitmeid keerukaid kaitsemehhanisme, mis on loodud tuvastamise vältimiseks ja analüüsi takistamiseks, mistõttu on turvauurijatel ja automatiseeritud tööriistadel raskem tuvastada selle käitumist ja analüüsida selle sisemist toimimist.

See peidab oma TLS-serveri initsialiseerimise ja sõrmejälgede võtmise rutiinide üksikasju hägustamise teel.

Käivitamise ajal teostab see protsesside maskeerimist, valides sisseehitatud loendist juhuslikult protsessi nime, et sulanduda legitiimsete süsteemiteenustega.

Mõned võimalikud nimed on järgmised:

  • igmpproxy
  • WSCD
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Vastupidavus ilma klassikalise püsivuseta

PolarEdge ei paista paigaldavat traditsioonilist püsivusmehhanismi, mis taaskäivituste ajal alles jääks. Selle asemel teeb see käitusaegse triki: see hargneb ja lapseprotsess küsitleb iga 30 sekundi järel, kas vanema/proc/ kataloog on endiselt olemas. Kui see kataloog kaob (mis näitab, et lapseprotsess on kadunud), käivitab lapseprotsess tagaukse taaskäivitamiseks kestakäsu, pakkudes sisuliselt oportunistlikku käitusaegset taastamist püsiva käivitusaegse püsivuse asemel.

Kaitsemängu kokkuvõtted

Ruutereid ja NAS-seadmeid haldavad organisatsioonid peaksid tagama, et nad rakendavad CVE-2023-20118 ja sarnaste kaugkäivitamise haavatavuste jaoks müüjate värskendusi ja leevendusi. Nad peaksid aktiivselt jälgima ebatavalist TLS-tegevust võrguseadmetest ja väljaminevatest ühendustest ootamatute hostidega. Sama oluline on jälgida protsesside maskeerimise märke ning võrgubinaarfailide ja veebiskriptide volitamata muutmist või kustutamist.

 

Trendikas

American Express - sisselogimiskatse blokeeriti...

Andmepüük, Rämpspost
Küberkurjategijad kasutavad sageli ära usaldusväärsete kaubamärkide tuntust, et meelitada pahaaimamatuid kasutajaid tundlikku teavet avaldama. Pettus „American Express – sisselogimiskatse blokeeriti” on selle taktika parim näide. Need meilid imiteerivad American Expressi turvahoiatusi, väites, et kahtlane sisselogimiskatse blokeeriti, ja kutsudes saajat üles viivitamatult tegutsema. On oluline...

Enim vaadatud

Laadimine...