PumaBot Botnet

Egy újonnan felfedezett Linux botnet, a PumaBot, pusztítást végez a beágyazott IoT eszközökön. A Go nyelven írt kártevő brute force módszereket használ az SSH hitelesítő adatok feltörésére, és a hozzáférés megszerzése után rosszindulatú csomagokat küld be. A hagyományos botnetekkel ellentétben, amelyek válogatás nélkül pásztázzák az internetet, a PumaBot a Command-and-Control (C2) szerveréről közvetlenül lekért IP-címekre koncentrál.

Precíziós célzás: Taktikai váltás az IoT kiaknázásában

A PumaBot azzal tűnik ki, hogy a C2 szerveréről (ssh.ddos-cc.org) gyűjti össze a kurátori IP-céllistákat, lehetővé téve számára a nagyon célzott támadások végrehajtását. Ez a megközelítés elkerüli a széles körű internetes kereséseket, és arra utal, hogy szándékosan akarnak feltörni bizonyos szervezeteket vagy eszközöket. Még a „Pumatronix” karakterláncot is keresi az eszközökön – ez egy nyom, amely a gyártó által gyártott megfigyelő és közlekedési kamerarendszerek célzására utalhat.

A felderítéstől a gyökérzetig: A PumaBot támadási életciklusa

Miután kiválasztott egy eszközt, a PumaBot brute-force SSH bejelentkezési kísérleteket hajt végre a 22-es porton. Siker esetén az „uname -a” parancsot futtatja a rendszerinformációk begyűjtéséhez és annak ellenőrzéséhez, hogy az eszköz nem honeypot. Az ellenőrzés után a botnet:

• A fő bináris fájlját (jierui) a /lib/redis fájlba írja.
• Telepít egy állandó systemd szolgáltatást (redis.service)
• Saját SSH-kulcsot injektál az authorized_keys fájlba a hosszú távú hozzáférés érdekében, még rendszertisztítás után is.

A fertőzésen túl: parancsvégrehajtás és adatlopás

A hozzáférés biztosítása után a PumaBot további parancsokat tud végrehajtani, többek között:

• Új hasznos adatok telepítése
• Érzékeny adatok kiszivárgása
• Hálózatokon belüli oldalirányú mozgás elősegítése
• Az észlelt hasznos adatok a következők:
• Önfrissítő szkriptek
• A pam_unix.so fájlt lecserélő PAM rootkitek
• Egy démon bináris fájl (1-es nevű), amely fájlfigyelőként működik

A rosszindulatú PAM modul naplózza az SSH hitelesítő adatokat, és a con.txt fájlban tárolja azokat. Az 1-es bináris fájl figyeli ezt a fájlt, és miután megtalálták, kiszivárogtatja a C2 szerverre, mielőtt törli a fertőzött rendszerből – egy tudatos lépés a nyomok eltüntetésére.

Ismeretlen célterület, nagy tét: A PumaBot csendes terjeszkedése

A kutatók még nem határozták meg a PumaBot kampányának mértékét vagy sikerességi arányát. A célzott IP-listák kiterjedése továbbra sem tisztázott. Azonban a botnet mélyebb hálózati beszivárgásra való összpontosítása, nem pedig az olyan alacsony szintű tevékenységekre, mint a DDoS-támadások, arra utal, hogy jelentős fenyegetést jelent a vállalati és kritikus infrastruktúrára.

Maradj egy lépéssel előrébb: Védekezés a PumaBot és fajtája ellen

A PumaBot vagy hasonló fenyegetések általi behatolás kockázatának csökkentése érdekében:

• Firmware frissítése minden IoT-eszközön
• Alapértelmezett hitelesítő adatok módosítása
• Tűzfalak telepítése és az SSH-hozzáférés korlátozása
• IoT-eszközök elkülönítése szegmentált hálózatokon

A proaktív biztonsági gyakorlatok elengedhetetlenek a botnet-szereplők távol tartásához és a vállalati hálózatok mélyebb behatolásoktól való védelméhez.