Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Botnetek PolarEdge botnet

PolarEdge botnet

Mezo -ra Botnetek-ben
Fordítás ide:

Biztonsági kutatók nemrégiben feltárták a PolarEdge névre keresztelt, routerekre fókuszáló botnetcsalád működésének mechanizmusát. A TLS-alapú kommunikáció, a beágyazott konfigurációs trükkök és a szándékos elemzésgátló intézkedések kombinációja jelentős fenyegetést jelent az otthoni és a kis- és középvállalkozások hálózati eszközeire.

Idővonal és felfedezés

A kutatók először 2025 februárjában dokumentálták a PolarEdge-et, összekapcsolva azt olyan kampányokkal, amelyek több gyártó routereit és NAS eszközeit célozták meg. 2025 augusztusára az elemzők feltérképezték a botnet infrastruktúrájának nagy részét, és olyan jellemzőket figyeltek meg, amelyek összhangban vannak az Operational Relay Box (ORB) stílusú hálózattal. A retrospektív telemetria azt sugallja, hogy a PolarEdge egyes tevékenységei egészen 2023 júniusáig nyúlhatnak vissza.

Célok és kezdeti hozzáférés

A nagyobb gyártók, köztük a Cisco, az ASUS, a QNAP és a Synology eszközeit azonosították célpontként, ami rávilágít arra, hogy mind a vállalati, mind a fogyasztói szintű routerek és NAS rendszerek ki vannak téve a támadások kockázatának.

A 2025 februári támadási láncokban a fenyegető szereplők egy ismert Cisco sebezhetőséget (CVE-2023-20118) kihasználva lekértek egy kis, FTP-n keresztül küldött, „q” nevű shell szkriptet. A szkript szerepe a PolarEdge ELF hátsó ajtó lekérése és elindítása volt a feltört gazdagépen.

Core implantátum tervezés

A PolarEdge egy TLS-képes ELF implantátum, amely elsősorban:

  • Elküldi a gazdagép ujjlenyomatát egy parancs- és vezérlő (C2) szervernek, majd
  • Várakozás a parancsokra egy beépített TLS-kiszolgálón keresztül, amely az mbedTLS v2.8.0 használatával valósult meg.

Az implantátum alapértelmezett viselkedése az, hogy TLS-kiszolgálóként működik egy egyéni bináris protokollt használva. Az egyik kulcsfontosságú protokollmező a HasCommand: amikor ez a mező egyenlő az 1-es ASCII karakterrel, az implantátum beolvassa a Command mezőt, helyben végrehajtja a megadott parancsot, és a nyers parancskimenetet visszaadja a C2-nek.

Működési módok

A PolarEdge két további módot támogat:

Visszakapcsolódási mód : az implantátum TLS kliensként viselkedik, amikor fájlokat kér le távoli szerverekről.

Hibakeresési mód : egy interaktív mód, amely lehetővé teszi a kezelők számára, hogy menet közben módosítsák a konfigurációs paramétereket (például a szervercímeket).

Beágyazott konfiguráció és obfuszkálás

A botnet a futásidejű konfigurációját az ELF kép utolsó 512 bájtjában tárolja. Ezt a blokkot egy egybájtos XOR-ral obfuszkálják; a kutatók jelentése szerint az XOR kulcs 0x11, amelyet alkalmazni kell a konfiguráció visszaállításához.

Fájlműveletek

A végrehajtás után a beültetés fájlrendszer-áthelyezéseket és -eltávolításokat hajt végre (például bináris fájlok, például az /usr/bin/wget és az /sbin/curl áthelyezése, valamint fájlok, például a /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak törlése). A műveletek mögött meghúzódó pontos működési szándék a rendelkezésre álló adatokból nem teljesen ismert.

Kijátszási és antianalízis technikák

A PolarEdge számos kifinomult védelmi mechanizmust tartalmaz, amelyek célja az észlelés elkerülése és az elemzés akadályozása, megnehezítve a biztonsági kutatók és az automatizált eszközök számára a viselkedésének azonosítását és belső működésének elemzését.

Kötésmentesítéssel elrejti a TLS-kiszolgáló inicializálási és ujjlenyomat-vételi rutinjainak részleteit.

Indításkor folyamatmaszkolást hajt végre, véletlenszerűen kiválasztva egy folyamatnevet egy beépített listából, hogy beolvadjon a legitim rendszerszolgáltatások közé.

Néhány a lehetséges nevek közül:

  • igmpproxy
  • WSCD
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Rugalmasság klasszikus kitartás nélkül

A PolarEdge látszólag nem telepít hagyományos, újraindítást túlélő megőrzési mechanizmust. Ehelyett egy futásidejű trükköt hajt végre: elágazik, és a gyermekfolyamat 30 másodpercenként lekérdezi, hogy a szülő/proc/ könyvtára létezik-e még. Ha ez a könyvtár eltűnik (ami azt jelzi, hogy a szülőfolyamat eltűnt), a gyermek egy shell parancsot futtat a hátsó ajtó újraindításához, ami gyakorlatilag alkalmi futásidejű helyreállítást biztosít a végleges rendszerindítási idejű megőrzés helyett.

Védekezésből levonható következtetések

Az útválasztókat és NAS eszközöket kezelő szervezeteknek gondoskodniuk kell arról, hogy alkalmazzák a CVE-2023-20118 és hasonló távoli végrehajtási sebezhetőségek szállítói frissítéseit és enyhítő intézkedéseit. Aktívan figyelniük kell a hálózati eszközöktől és a váratlan hosztokhoz irányuló kimenő kapcsolatoktól származó szokatlan TLS-tevékenységeket. Ugyanilyen fontos a folyamatmaszkolás jeleinek, valamint a hálózati binárisok és a webes szkriptek jogosulatlan módosításainak vagy törlésének figyelése.


Felkapott

American Express - Bejelentkezési kísérlet blokkolva...

Adathalászat, Spam
A kiberbűnözők gyakran kihasználják a megbízható márkák ismertségét, hogy gyanútlan felhasználókat csábítsanak bizalmas információk kiadására. Az „American Express – Bejelentkezési kísérlet blokkolva” átverés ennek a taktikának a kiváló példája. Ezek az e-mailek az American Express biztonsági riasztásait utánozzák, azt állítva, hogy egy gyanús bejelentkezési kísérletet blokkoltak, és a...

Legnézettebb

Betöltés...