PumaBot Botnet

हाल ही में खोजा गया एक लिनक्स बॉटनेट, जिसे प्यूमाबॉट कहा जाता है, एम्बेडेड IoT डिवाइस में तबाही मचा रहा है। गो में लिखा गया यह मैलवेयर SSH क्रेडेंशियल को क्रैक करने के लिए क्रूर-बल विधियों का उपयोग करता है, एक बार एक्सेस प्राप्त होने पर दुर्भावनापूर्ण पेलोड तैनात करता है। पारंपरिक बॉटनेट के विपरीत जो इंटरनेट को अंधाधुंध तरीके से स्कैन करते हैं, प्यूमाबॉट अपने कमांड-एंड-कंट्रोल (C2) सर्वर से सीधे प्राप्त किए गए विशिष्ट IP पतों पर ध्यान केंद्रित करता है।

सटीक लक्ष्यीकरण: IoT उपयोग में एक सामरिक बदलाव

प्यूमाबॉट अपने C2 सर्वर (ssh.ddos-cc.org) से क्यूरेटेड IP लक्ष्य सूची खींचकर खुद को अलग पहचान देता है, जिससे यह अत्यधिक केंद्रित हमले करने में सक्षम होता है। यह दृष्टिकोण व्यापक इंटरनेट स्कैन से बचता है और विशिष्ट संगठनों या उपकरणों से समझौता करने के इरादे का सुझाव देता है। यह 'पुमाट्रोनिक्स' स्ट्रिंग के लिए उपकरणों की भी जांच करता है - एक सुराग जो इस विक्रेता द्वारा उत्पादित निगरानी और ट्रैफ़िक कैमरा सिस्टम को लक्षित करने की ओर इशारा कर सकता है।

रिकन से रूट तक: प्यूमाबॉट का हमला जीवनचक्र

एक बार डिवाइस चुने जाने के बाद, PumaBot पोर्ट 22 पर ब्रूट-फोर्स SSH लॉगिन प्रयास करता है। सफल होने पर, यह सिस्टम जानकारी एकत्र करने और डिवाइस के हनीपोट न होने की पुष्टि करने के लिए 'uname -a' चलाता है। इस सत्यापन के बाद, बॉटनेट:

• इसके मुख्य बाइनरी (jierui) को /lib/redis में लिखता है
• एक स्थायी systemd सेवा (redis.service) स्थापित करता है
• सिस्टम क्लीनअप के बाद भी, दीर्घकालिक पहुंच के लिए, अधिकृत_कुंजी में अपनी स्वयं की SSH कुंजी इंजेक्ट करता है

संक्रमण से परे: कमांड निष्पादन और डेटा चोरी

पहुँच सुरक्षित होने पर, प्यूमाबॉट आगे के आदेशों को निष्पादित कर सकता है, जिनमें शामिल हैं:

• नये पेलोड की तैनाती
• संवेदनशील डेटा का निष्कासन
• नेटवर्क के भीतर पार्श्विक गति को सुविधाजनक बनाना
• पता लगाए गए पेलोड में शामिल हैं:
• स्व-अद्यतन स्क्रिप्ट
• PAM रूटकिट जो pam_unix.so को प्रतिस्थापित करते हैं
• एक डेमॉन बाइनरी (नाम 1) जो फ़ाइल वॉचर के रूप में कार्य करता है

दुर्भावनापूर्ण PAM मॉड्यूल SSH क्रेडेंशियल्स को लॉग करता है और उन्हें con.txt में संग्रहीत करता है। 1 बाइनरी इस फ़ाइल की निगरानी करता है और, एक बार मिल जाने पर, संक्रमित सिस्टम से इसे मिटाने से पहले इसे C2 सर्वर पर भेज देता है - यह इसके ट्रैक को छिपाने के लिए एक सोची-समझी चाल है।

अज्ञात दायरा, उच्च दांव: प्यूमाबॉट का मौन विस्तार

शोधकर्ताओं ने अभी तक प्यूमाबॉट के अभियान के पैमाने या सफलता दर का निर्धारण नहीं किया है। लक्ष्य आईपी सूचियों की सीमा अभी भी अस्पष्ट है। हालांकि, बॉटनेट का ध्यान डीडीओएस हमलों जैसी कम-श्रेणी की गतिविधियों के बजाय गहरे नेटवर्क घुसपैठ पर है, जिससे पता चलता है कि यह कॉर्पोरेट और महत्वपूर्ण बुनियादी ढांचे के लिए एक महत्वपूर्ण खतरा है।

आगे रहें: प्यूमाबॉट और उसके जैसे अन्य से बचाव

प्यूमाबॉट या इसी तरह के खतरों से समझौता होने के जोखिम को कम करने के लिए:

• सभी IoT डिवाइसों पर फ़र्मवेयर अपडेट करें
• डिफ़ॉल्ट क्रेडेंशियल बदलें
• फ़ायरवॉल तैनात करें और SSH पहुँच प्रतिबंधित करें
• खंडित नेटवर्क पर IoT उपकरणों को अलग करें

बॉटनेट अभिनेताओं को दूर रखने और उद्यम नेटवर्क को गहरे उल्लंघन से बचाने के लिए सक्रिय सुरक्षा प्रथाएं आवश्यक हैं।