Ponuda s popustom na više licenci
Baza prijetnji Botneti PolarEdge botnet

PolarEdge botnet

Do Mezo. Botneti. godine
Prevedi na:

Sigurnosni istraživači nedavno su razotkrili mehaniku obitelji botneta usmjerenih na usmjerivače nazvane PolarEdge. Njihova kombinacija komunikacije temeljene na TLS-u, ugrađenih konfiguracijskih trikova i namjernih mjera protiv analize čini ih značajnom prijetnjom kućnim i SMB mrežnim uređajima.

Vremenska crta i otkriće

Istraživači su prvi put dokumentirali PolarEdge u veljači 2025., povezujući ga s kampanjama usmjerenim na usmjerivače i NAS uređaje više dobavljača. Do kolovoza 2025. analitičari su mapirali veći dio infrastrukture botneta i uočili osobine u skladu s mrežom tipa Operational Relay Box (ORB). Retrospektivna telemetrija sugerira da neke aktivnosti PolarEdgea mogu datirati čak do lipnja 2023.

Ciljevi i početni pristup

Uređaji glavnih dobavljača, uključujući Cisco, ASUS, QNAP i Synology, identificirani su kao mete, što naglašava da su i ruteri i NAS sustavi poslovne i potrošačke klase u opasnosti od iskorištavanja.

U lancima napada iz veljače 2025., akteri prijetnji iskoristili su poznatu Ciscovu ranjivost (CVE-2023-20118) kako bi dohvatili malu FTP-om isporučenu shell skriptu pod nazivom 'q'. Uloga te skripte bila je dohvatiti i pokrenuti PolarEdge ELF backdoor na kompromitiranom hostu.

Dizajn jezgre implantata

PolarEdge je ELF implantat s TLS-kompatibilnošću koji prvenstveno:

  • Šalje otisak prsta hosta na komandno-kontrolni (C2) poslužitelj, a zatim
  • Čeka naredbe preko ugrađenog TLS poslužitelja implementiranog pomoću mbedTLS v2.8.0.

Zadano ponašanje implantata je da djeluje kao TLS poslužitelj koristeći prilagođeni binarni protokol. Jedno ključno polje protokola je HasCommand: kada je ovo polje jednako ASCII znaku 1, implantat čita polje Command, izvršava navedenu naredbu lokalno i vraća sirovi izlaz naredbe na C2.

Načini rada

PolarEdge podržava dva dodatna načina rada:

Način povratnog povezivanja : implantat se ponaša kao TLS klijent za povlačenje datoteka s udaljenih poslužitelja.

Način rada za otklanjanje pogrešaka : interaktivni način rada koji omogućuje operaterima da u hodu mijenjaju konfiguracijske parametre (na primjer, adrese poslužitelja).

Ugrađena konfiguracija i zamagljivanje

Botnet pohranjuje svoju konfiguraciju tijekom izvođenja unutar posljednjih 512 bajtova ELF slike. Taj blok je maskiran jednobajtnim XOR-om; istraživači izvještavaju da je XOR ključ 0x11, koji se mora primijeniti za oporavak konfiguracije.

Operacije s datotekama

Nakon izvršenja, implantat vrši premještanje i uklanjanje datotečnog sustava (primjeri uključuju premještanje binarnih datoteka kao što su /usr/bin/wget i /sbin/curl te brisanje datoteka kao što je /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Precizna operativna namjera iza ovih radnji nije u potpunosti shvaćena iz dostupnih podataka.

Tehnike izbjegavanja i antianalize

PolarEdge uključuje niz sofisticiranih obrambenih mehanizama osmišljenih za izbjegavanje otkrivanja i ometanje analize, što istraživačima sigurnosti i automatiziranim alatima otežava prepoznavanje njegovog ponašanja i analizu njegovog unutarnjeg rada.

Skriva detalje inicijalizacije TLS poslužitelja i rutina otiska prsta putem obfuscationa.

Tijekom pokretanja, izvodi maskiranje procesa, nasumično birajući naziv procesa s ugrađenog popisa kako bi se uklopio s legitimnim sistemskim uslugama.

Neka od mogućih imena uključuju:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iApp

Otpornost bez klasične upornosti

Čini se da PolarEdge ne instalira tradicionalni mehanizam perzistencije koji preživi ponovna pokretanja. Umjesto toga, izvodi trik tijekom izvođenja: forkuje se, a podređeni proces provjerava postoji li još uvijek direktorij /proc/ roditelja. Ako taj direktorij nestane (što ukazuje na to da je roditeljski proces nestao), podređeni proces pokreće naredbu ljuske za ponovno pokretanje stražnjih vrata, učinkovito pružajući oportunistički oporavak tijekom izvođenja, a ne trajnu perzistenciju tijekom pokretanja.

Obrambeni zaključci

Organizacije koje upravljaju usmjerivačima i NAS uređajima trebale bi osigurati primjenu ažuriranja i ublažavanja dobavljača za CVE-2023-20118 i slične ranjivosti udaljenog izvršavanja. Trebale bi aktivno pratiti neobične TLS aktivnosti mrežnih uređaja i odlaznih veza s neočekivanim hostovima. Jednako je važno pratiti znakove maskiranja procesa i sve neovlaštene promjene ili brisanje mrežnih binarnih datoteka i skripti usmjerenih na web.


U trendu

American Express - Pokušaj prijave blokiran je -...

Krađa identiteta, Spam
Kibernetički kriminalci često iskorištavaju poznatost pouzdanih robnih marki kako bi namamili nesuđene korisnike da otkriju osjetljive informacije. Prijevara 'American Express - Pokušaj prijave blokiran' glavni je primjer ove taktike. Ove e-poruke oponašaju sigurnosna upozorenja tvrtke American Express, tvrdeći da je sumnjiv pokušaj prijave blokiran i potičući primatelja da odmah poduzme mjere....

Nagledanije

Učitavam...