PumaBot-bottiverkko

Äskettäin löydetty Linux-botnet, nimeltään PumaBot, aiheuttaa tuhoa sulautettuihin IoT-laitteisiin. Go-kielellä kirjoitettu haittaohjelma käyttää raa'an voiman menetelmiä SSH-tunnistetietojen murtamiseen ja lähettää haitallisia tiedostoja, kun pääsy on saatu. Toisin kuin perinteiset botnetit, jotka skannaavat internetiä summittaisesti, PumaBot kohdistaa paikan tiettyihin IP-osoitteisiin, jotka haetaan suoraan sen Command-and-Control (C2) -palvelimelta.

Tarkkuuskohdistus: Taktinen muutos IoT:n hyödyntämisessä

PumaBot erottuu edukseen hakemalla kuratoituja IP-kohdeluetteloita C2-palvelimeltaan (ssh.ddos-cc.org), minkä ansiosta se voi suorittaa erittäin kohdennettuja hyökkäyksiä. Tämä lähestymistapa välttää laajoja internet-skannauksia ja viittaa aikomukseen vaarantaa tiettyjä organisaatioita tai laitteita. Se jopa tarkistaa laitteita 'Pumatronix'-merkkijonon varalta – vihjeen, joka voi viitata tämän toimittajan tuottamien valvonta- ja liikennekamerajärjestelmien kohdistamiseen.

Tiedustelusta juuriin: PumaBotin hyökkäyksen elinkaari

Kun laite on valittu, PumaBot suorittaa raa'alla voimalla SSH-kirjautumisyrityksiä portissa 22. Jos se onnistuu, se suorittaa komennon 'uname -a' kerätäkseen järjestelmätietoja ja varmistaakseen, ettei laite ole hunajapurkki. Tämän tarkistuksen jälkeen bottiverkko:

• Kirjoittaa pääbinääritiedostonsa (jierui) tiedostoon /lib/redis
• Asentaa pysyvän systemd-palvelun (redis.service)
• Lisää oman SSH-avaimensa authorized_keys-kansioon pitkäaikaista käyttöä varten, jopa järjestelmän puhdistuksen jälkeen

Tartunnan tuolla puolen: Komentojen suorittaminen ja tietovarkaudet

Kun pääsy on suojattu, PumaBot voi suorittaa lisäkomentoja, mukaan lukien:

• Uusien hyötykuormien käyttöönotto
• Arkaluonteisten tietojen vuotaminen
• Sivuttaisliikkeen helpottaminen verkostoissa
• Havaitut hyötykuormat sisältävät:
• Itsepäivittyvät skriptit
• PAM-rootkitit, jotka korvaavat pam_unix.so-tiedoston
• Daemon-binääritiedosto (nimeltään 1), joka toimii tiedostojen tarkkailijana

Haitallinen PAM-moduuli kirjaa SSH-tunnistetiedot ja tallentaa ne con.txt-tiedostoon. 1-binääritiedosto tarkkailee tätä tiedostoa ja löydettyään sen suodattuu C2-palvelimelle ennen kuin pyyhkii sen tartunnan saaneesta järjestelmästä – harkittu teko peittääkseen jäljet.

Tuntematon laajuus, korkeat panokset: PumaBotin hiljainen laajentuminen

Tutkijat eivät ole vielä määrittäneet PumaBotin kampanjan laajuutta tai onnistumisprosenttia. Kohde-IP-osoitteiden laajuus on edelleen epäselvä. Bottiverkon keskittyminen syvempään verkkoon tunkeutumiseen pikemminkin kuin matala-asteiseen toimintaan, kuten DDoS-hyökkäyksiin, viittaa kuitenkin siihen, että se on merkittävä uhka yritysten ja kriittisen infrastruktuurin toiminnalle.

Pysy edellä: Puolustautuminen PumaBotia ja sen kaltaisia vastaan

PumaBotin tai vastaavien uhkien aiheuttaman hyökkäyksen riskin vähentämiseksi:

• Päivitä laiteohjelmisto kaikissa IoT-laitteissa
• Muuta oletustunnistetietoja
• Ota käyttöön palomuurit ja rajoita SSH-yhteyttä
• Eristä IoT-laitteet segmentoiduissa verkoissa

Ennakoivat tietoturvakäytännöt ovat välttämättömiä bottiverkkojen toimijoiden pitämiseksi loitolla ja yritysverkkojen suojaamiseksi syvemmiltä tietomurroilta.