PumaBot Botnet
Äsja avastatud Linuxi botnet, hüüdnimega PumaBot, külvab manustatud IoT-seadmetes kaost. Go keeles kirjutatud pahavara kasutab SSH-mandaatide murdmiseks toore jõu meetodeid, levitades pärast juurdepääsu saamist pahatahtlikke ressursse. Erinevalt traditsioonilistest botnetidest, mis skannivad internetti valimatult, sihtib PumaBot konkreetsete IP-aadresside järgi, mis on otse tema Command-and-Control (C2) serverist hangitud.
Sisukord
Täppissihtimine: taktikaline nihe asjade interneti kasutamisel
PumaBot eristub selle poolest, et hangib oma C2 serverist (ssh.ddos-cc.org) kureeritud IP-sihtmärkide loendeid, mis võimaldab tal läbi viia väga sihipäraseid rünnakuid. See lähenemisviis väldib laiaulatuslikke internetiskaneeringuid ja viitab kavatsusele rikkuda konkreetseid organisatsioone või seadmeid. See kontrollib seadmeid isegi „Pumatronix” stringi suhtes – vihje, mis võib viidata selle tootja toodetud valve- ja liikluskaamerasüsteemide sihtimisele.
Luurelt juurdumisele: PumaBoti rünnaku elutsükkel
Kui seade on valitud, teeb PumaBot pordi 22 kaudu jõhkra SSH sisselogimise katseid. Edu korral käivitab see süsteemiteabe kogumiseks ja seadme mittemeepoti kontrollimiseks käsu 'uname -a'. Pärast seda kontrolli botnet:
- Kirjutab oma peamise binaarfaili (jierui) faili /lib/redis
- Paigaldab püsiva süsteemitud teenuse (redis.service)
- Süstib oma SSH-võtme authorized_keys'i pikaajaliseks juurdepääsuks isegi pärast süsteemi puhastamist
Nakatumisest kaugemale: käskude täitmine ja andmete vargus
Kui juurdepääs on kaitstud, saab PumaBot täita täiendavaid käske, sealhulgas:
- Uute kasulike koormuste juurutamine
- Tundlike andmete väljafiltreerimine
- Võrgustike sees külgliikumise hõlbustamine
- Tuvastatud kasulikud koormused hõlmavad järgmist:
- Iseuuendavad skriptid
- PAM-i juurkomplektid, mis asendavad pam_unix.so
- Deemoni binaarfail (nimega 1), mis toimib failivaatlejana
Pahatahtlik PAM-moodul logib SSH-mandaadid ja salvestab need faili con.txt. 1. binaarfail jälgib seda faili ja kui see leitakse, filtreerib selle enne nakatunud süsteemist kustutamist C2-serverisse – see on läbimõeldud samm jälgede varjamiseks.
Tundmatu ulatus, kõrged panused: PumaBoti vaikne laienemine
Teadlased ei ole veel kindlaks teinud PumaBoti kampaania ulatust ega edukust. Sihtrühma kuuluvate IP-aadresside nimekirjade ulatus on endiselt ebaselge. Botivõrgu keskendumine sügavamale võrgu infiltratsioonile, mitte madala astme tegevustele, nagu DDoS-rünnakud, viitab aga sellele, et see kujutab endast märkimisväärset ohtu ettevõtete ja kriitilisele infrastruktuurile.
Püsige sammu võrra ees: kaitsmine PumaBoti ja sarnaste vastu
PumaBoti või sarnaste ohtude poolt põhjustatud rünnakuohu vähendamiseks:
- Värskenda püsivara kõigis IoT-seadmetes
- Vaikimisi mandaatide muutmine
- Paigalda tulemüürid ja piira SSH-juurdepääsu
- Isoleerige IoT-seadmed segmenteeritud võrkudes
Ennetavad turvapraktikad on olulised, et hoida botnettide tegutsejaid eemal ja kaitsta ettevõtte võrke sügavamate rikkumiste eest.
