قیمت چند مجوز تخفیف
پایگاه داده تهدید بات نت ها بات‌نت PolarEdge

بات‌نت PolarEdge

تا Mezo در بات نت ها
ترجمه به:

محققان امنیتی اخیراً سازوکار یک خانواده بات‌نت متمرکز بر روتر به نام PolarEdge را بررسی کرده‌اند. ترکیبی از ارتباطات مبتنی بر TLS، ترفندهای پیکربندی تعبیه‌شده و اقدامات ضد تحلیلی عمدی، آن را به تهدیدی قابل توجه برای لوازم خانگی و شبکه‌های SMB تبدیل می‌کند.

جدول زمانی و کشف

محققان برای اولین بار PolarEdge را در فوریه ۲۰۲۵ مستند کردند و آن را به کمپین‌هایی که روترها و دستگاه‌های NAS را از فروشندگان مختلف هدف قرار می‌دادند، مرتبط دانستند. تا آگوست ۲۰۲۵، تحلیلگران بخش زیادی از زیرساخت‌های این بات‌نت را نقشه‌برداری کرده و ویژگی‌هایی را مشاهده کردند که با یک شبکه به سبک جعبه رله عملیاتی (ORB) مطابقت دارد. تله‌متری گذشته‌نگر نشان می‌دهد که برخی از فعالیت‌های PolarEdge ممکن است به ژوئن ۲۰۲۳ بازگردد.

اهداف و دسترسی اولیه

دستگاه‌های فروشندگان اصلی، از جمله سیسکو، ایسوس، کیونپ و سینولوژی، به عنوان اهداف شناسایی شده‌اند و این نشان می‌دهد که هم روترهای سازمانی و هم روترهای مصرفی و سیستم‌های NAS در معرض خطر سوءاستفاده هستند.

در زنجیره‌های حمله فوریه ۲۰۲۵، عوامل تهدید از یک آسیب‌پذیری شناخته‌شده سیسکو (CVE-2023-20118) برای دریافت یک اسکریپت شل کوچک تحویل داده‌شده توسط FTP به نام 'q' سوءاستفاده کردند. نقش این اسکریپت بازیابی و راه‌اندازی درب پشتی PolarEdge ELF در میزبان آسیب‌دیده بود.

طراحی ایمپلنت کور

PolarEdge یک ایمپلنت ELF با قابلیت TLS است که در درجه اول:

  • یک اثر انگشت میزبان را به سرور فرمان و کنترل (C2) ارسال می‌کند، سپس
  • منتظر دستورات از طریق یک سرور TLS داخلی است که با استفاده از mbedTLS نسخه ۲.۸.۰ پیاده‌سازی شده است.

رفتار پیش‌فرض این ایمپلنت، عمل کردن به عنوان یک سرور TLS با استفاده از یک پروتکل دودویی سفارشی است. یکی از فیلدهای کلیدی پروتکل، HasCommand است: وقتی این فیلد برابر با کاراکتر ASCII 1 باشد، ایمپلنت فیلد Command را می‌خواند، دستور مشخص شده را به صورت محلی اجرا می‌کند و خروجی خام دستور را به C2 برمی‌گرداند.

حالت‌های عملیاتی

PolarEdge از دو حالت اضافی پشتیبانی می‌کند:

حالت اتصال به عقب : این ایمپلنت به عنوان یک کلاینت TLS عمل می‌کند تا فایل‌ها را از سرورهای راه دور دریافت کند.

حالت اشکال‌زدایی : یک حالت تعاملی که به اپراتورها اجازه می‌دهد پارامترهای پیکربندی (مثلاً آدرس‌های سرور) را درجا تغییر دهند.

پیکربندی جاسازی‌شده و مبهم‌سازی

این بات‌نت پیکربندی زمان اجرا (Runtime Configuration) خود را در ۵۱۲ بایت پایانی تصویر ELF ذخیره می‌کند. این بلوک با یک XOR تک بایتی مبهم‌سازی شده است؛ محققان گزارش می‌دهند که کلید XOR برابر با 0x11 است که برای بازیابی پیکربندی باید اعمال شود.

عملیات فایل

پس از اجرا، این بدافزار عملیات جابجایی و حذف فایل‌های سیستم فایل را انجام می‌دهد (برای مثال می‌توان به جابجایی فایل‌های باینری مانند /usr/bin/wget و /sbin/curl و حذف فایل‌هایی مانند /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak اشاره کرد). هدف عملیاتی دقیق پشت این اقدامات از داده‌های موجود به طور کامل قابل درک نیست.

تکنیک‌های فرار و ضد تحلیل

PolarEdge شامل طیف وسیعی از مکانیسم‌های دفاعی پیچیده است که برای جلوگیری از شناسایی و جلوگیری از تجزیه و تحلیل طراحی شده‌اند و شناسایی رفتار و تشریح سازوکار داخلی آن را برای محققان امنیتی و ابزارهای خودکار دشوارتر می‌کنند.

این بدافزار جزئیات مربوط به مقداردهی اولیه سرور TLS و روال‌های انگشت‌نگاری خود را از طریق مبهم‌سازی پنهان می‌کند.

در طول راه‌اندازی، فرآیند را تغییر شکل می‌دهد و به طور تصادفی نام یک فرآیند را از یک لیست داخلی انتخاب می‌کند تا با سرویس‌های قانونی سیستم ترکیب شود.

برخی از نام‌های احتمالی عبارتند از:

  • آیگمپ پروکسی
  • wscd
  • /sbin/dhcpd
  • اچ‌تی‌پی‌دی
  • آپ ان پی دی
  • آی‌اپ

تاب‌آوری بدون پشتکار کلاسیک

به نظر نمی‌رسد PolarEdge مکانیزم پایداری سنتی را که از راه‌اندازی مجدد جان سالم به در می‌برد، نصب کند. در عوض، یک ترفند زمان اجرا انجام می‌دهد: انشعاب ایجاد می‌کند و فرآیند فرزند هر 30 ثانیه یک بار بررسی می‌کند که آیا دایرکتوری/proc/ والد هنوز وجود دارد یا خیر. اگر آن دایرکتوری ناپدید شود (که نشان می‌دهد فرآیند والد از بین رفته است)، فرزند یک دستور shell را برای راه‌اندازی مجدد backdoor اجرا می‌کند و عملاً به جای پایداری دائمی زمان بوت، بازیابی زمان اجرا فرصت‌طلبانه را فراهم می‌کند.

نکات دفاعی

سازمان‌هایی که روترها و دستگاه‌های NAS را مدیریت می‌کنند، باید اطمینان حاصل کنند که به‌روزرسانی‌ها و اقدامات کاهشی مربوط به آسیب‌پذیری CVE-2023-20118 و آسیب‌پذیری‌های مشابه اجرای از راه دور را از فروشندگان اعمال می‌کنند. آن‌ها باید به‌طور فعال فعالیت‌های غیرمعمول TLS را از دستگاه‌های شبکه و اتصالات خروجی به میزبان‌های غیرمنتظره رصد کنند. به همان اندازه، توجه به نشانه‌های تغییر شکل فرآیند و هرگونه تغییر یا حذف غیرمجاز فایل‌های باینری شبکه و اسکریپت‌های تحت وب نیز بسیار مهم است.

پرطرفدار

TechBrowser

بدافزار مک, ابزارهای تبلیغاتی مزاحم, برنامه های بالقوه ناخواسته
پس از ارزیابی محققان امنیت اطلاعات، اپلیکیشن TechBrowser در دسته ابزارهای تبلیغاتی مزاحم قرار می گیرد. این طبقه بندی بر اساس توانایی آن در نمایش تبلیغات سرزده است. علاوه بر این، نگرانی‌هایی در مورد...

کلاهبرداری American Express - تلاش برای ورود مسدود شد

فیشینگ, هرزنامه
مجرمان سایبری اغلب از آشنایی با برندهای معتبر سوءاستفاده می‌کنند تا کاربران ناآگاه را به افشای اطلاعات حساس ترغیب کنند. کلاهبرداری «American Express - تلاش برای ورود مسدود شد» نمونه بارز این تاکتیک است. این ایمیل‌ها هشدارهای امنیتی American Express را جعل می‌کنند و ادعا می‌کنند که یک تلاش مشکوک برای ورود مسدود شده است و از گیرنده می‌خواهند که فوراً اقدام کند. درک این نکته بسیار مهم است که این...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
33,536
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...