Monen lisenssin alennustarjous
Uhatietokanta Bottiverkot PolarEdge-bottiverkko

PolarEdge-bottiverkko

Vuonna Mezo vuonna Bottiverkot
Käännä:

Tietoturvatutkijat ovat äskettäin selvittäneet reitittimiin keskittyvän bottiverkkoperheen, PolarEdgen, mekaniikkaa. Sen TLS-pohjaisen viestinnän, sulautettujen määrityskikkojen ja tarkoituksellisten analysoinnin estävien toimenpiteiden yhdistelmä tekee siitä merkittävän uhan kotitalouksien ja pk-yritysten verkkolaitteille.

Aikajana ja löytö

Tutkijat dokumentoivat PolarEdgen ensimmäisen kerran helmikuussa 2025 ja linkittivät sen kampanjoihin, jotka kohdistivat hyökkäyksiä useiden toimittajien reitittimiin ja NAS-laitteisiin. Elokuuhun 2025 mennessä analyytikot olivat kartoittaneet suuren osan botnetin infrastruktuurista ja havainneet piirteitä, jotka ovat yhdenmukaisia Operational Relay Box (ORB) -tyyppisen verkon kanssa. Retrospektiivinen telemetria viittaa siihen, että osa PolarEdgen toiminnasta voi ulottua jopa kesäkuuhun 2023.

Kohteet ja alkukäyttöoikeus

Suurten toimittajien, kuten Ciscon, ASUSin, QNAPin ja Synologyn, laitteet on tunnistettu uhreiksi, mikä korostaa, että sekä yritys- että kuluttajaluokan reitittimet ja NAS-järjestelmät ovat vaarassa joutua hyökkäyksen kohteeksi.

Helmikuun 2025 hyökkäysketjuissa uhkatoimijat hyödynsivät tunnettua Ciscon haavoittuvuutta (CVE-2023-20118) hakeakseen pienen FTP:n kautta toimitetun komentosarjan nimeltä 'q'. Komentosarjan tehtävänä oli hakea ja käynnistää PolarEdge ELF -takaovi vaarantuneella isännällä.

Ydinimplantin suunnittelu

PolarEdge on TLS-yhteensopiva ELF-implantti, joka ensisijaisesti:

  • Lähettää isännän sormenjäljen komento- ja ohjauspalvelimelle (C2) ja sitten
  • Odottaa komentoja sisäänrakennetun TLS-palvelimen kautta, joka on toteutettu mbedTLS v2.8.0:lla.

Implantin oletusarvoinen toiminta on TLS-palvelimena, joka käyttää mukautettua binääriprotokollaa. Yksi keskeinen protokollakenttä on HasCommand: kun tämä kenttä on yhtä suuri kuin ASCII-merkki 1, implantti lukee Command-kentän, suorittaa määritetyn komennon paikallisesti ja palauttaa raakakomennon tulosteen C2:lle.

Toimintatilat

PolarEdge tukee kahta lisätilaa:

Yhdistämistila : implantti toimii TLS-asiakkaana tiedostojen noutamiseksi etäpalvelimilta.

Virheenjäljitystila : vuorovaikutteinen tila, jonka avulla käyttäjät voivat muuttaa määritysparametreja (esimerkiksi palvelinosoitteita) lennossa.

Upotettu konfigurointi ja hämärtäminen

Bottiverkko tallentaa ajonaikaisen kokoonpanonsa ELF-kuvan viimeisiin 512 tavuun. Tämä lohko on obfuskoitu yksitavuisella XOR-avaimen avulla; tutkijoiden mukaan XOR-avain on 0x11, jota on käytettävä kokoonpanon palauttamiseksi.

Tiedostotoiminnot

Suorittamisen jälkeen asennus suorittaa tiedostojärjestelmän siirtoja ja poistoja (esimerkkejä ovat binaarien, kuten /usr/bin/wget ja /sbin/curl, siirtäminen sekä tiedostojen, kuten /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak, poistaminen). Näiden toimien tarkkaa operatiivista tarkoitusta ei täysin ymmärretä saatavilla olevien tietojen perusteella.

Väistö- ja analyysinvastaiset tekniikat

PolarEdge sisältää useita hienostuneita puolustusmekanismeja, jotka on suunniteltu välttämään havaitsemista ja estämään analysointia, mikä vaikeuttaa tietoturvatutkijoiden ja automatisoitujen työkalujen mahdollisuuksia tunnistaa sen toiminta ja analysoida sen sisäisiä toimintoja.

Se piilottaa TLS-palvelimen alustus- ja sormenjälkirutiinien tiedot hämärtämällä.

Käynnistyksen aikana se suorittaa prosessien naamiointia valitsemalla satunnaisesti prosessinimen sisäänrakennetusta luettelosta sulautuakseen laillisiin järjestelmäpalveluihin.

Joitakin mahdollisia nimiä ovat:

  • igmpproxy
  • WSCD
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Resilienssi ilman klassista pysyvyyttä

PolarEdge ei näytä asentavan perinteistä uudelleenkäynnistyksen kestävää säilyvyysmekanismia. Sen sijaan se suorittaa ajonaikaisen tempun: se haarautuu ja lapsiprosessi tarkistaa 30 sekunnin välein, onko päähakemiston /proc/-hakemisto edelleen olemassa. Jos kyseinen hakemisto katoaa (mikä osoittaa, että pääprosessi on poissa), lapsiprosessi suorittaa komentotulkkikomennon takaportin uudelleenkäynnistämiseksi, mikä tarjoaa käytännössä opportunistisen ajonaikaisen palautuksen pysyvän käynnistyksenaikaisen säilyvyyden sijaan.

Puolustuksen huomioita

Reitittimiä ja NAS-laitteita hallinnoivien organisaatioiden tulisi varmistaa, että ne asentavat toimittajien päivityksiä ja lieventäviä toimenpiteitä CVE-2023-20118-haavoittuvuuksien ja vastaavien etäsuoritushaavoittuvuuksien varalta. Niiden tulisi aktiivisesti seurata epätavallista TLS-toimintaa verkkolaitteista ja lähtevistä yhteyksistä odottamattomiin isäntiin. Yhtä tärkeää on tarkkailla prosessien naamioinnin merkkejä sekä verkkobinaarien ja verkkoon liittyvien komentosarjojen luvattomia muutoksia tai poistoja.

 

Trendaavat

American Express - Kirjautumisyritys estettiin -huijaus

Tietojenkalastelu, Roskaposti
Kyberrikolliset usein hyödyntävät luotettavien tuotemerkkien tunnettuutta houkutellakseen tietämättömiä käyttäjiä paljastamaan arkaluonteisia tietoja. ”American Express - Kirjautumisyritys estettiin” -huijaus on tästä taktiikasta erinomainen esimerkki. Nämä sähköpostit jäljittelevät American Expressin tietoturvahälytyksiä väittäen, että epäilyttävä kirjautumisyritys estettiin, ja kehottaen...

Eniten katsottu

Ladataan...