PumaBot Botnet

botnet លីនុចដែលទើបរកឃើញថ្មី ដែលមានឈ្មោះថា PumaBot កំពុងបង្កការបំផ្លិចបំផ្លាញលើឧបករណ៍ IoT ដែលបានបង្កប់។ សរសេរក្នុង Go មេរោគនេះប្រើវិធីបង្ខំ brute-force ដើម្បីបំបែកព័ត៌មានសម្ងាត់ SSH ដោយដាក់ពង្រាយបន្ទុកដែលមានគំនិតអាក្រក់នៅពេលដែលទទួលបានសិទ្ធិចូលប្រើប្រាស់។ មិនដូច botnets ប្រពៃណីដែលស្កែនអ៊ីនធឺណិតដោយមិនរើសអើងនោះទេ PumaBot សូន្យនៅលើអាសយដ្ឋាន IP ជាក់លាក់ដែលទាញយកដោយផ្ទាល់ពីម៉ាស៊ីនមេ Command-and-Control (C2) របស់វា។

ការកំណត់គោលដៅច្បាស់លាស់៖ ការផ្លាស់ប្តូរយុទ្ធសាស្ត្រក្នុងការកេងប្រវ័ញ្ច IoT

PumaBot សម្គាល់ខ្លួនវាដោយទាញបញ្ជីគោលដៅ IP ដែលរៀបចំពីម៉ាស៊ីនមេ C2 របស់វា (ssh.ddos-cc.org) ដែលអនុញ្ញាតឱ្យវាធ្វើការវាយប្រហារផ្តោតខ្លាំង។ វិធីសាស្រ្តនេះជៀសវាងការស្កែនអ៊ីនធឺណិតទូលំទូលាយ និងបង្ហាញពីចេតនាក្នុងការសម្របសម្រួលអង្គភាព ឬឧបករណ៍ជាក់លាក់។ វាថែមទាំងត្រួតពិនិត្យឧបករណ៍សម្រាប់ខ្សែ 'Pumatronix' ដែលជាតម្រុយដែលអាចចង្អុលទៅការកំណត់គោលដៅនៃប្រព័ន្ធកាមេរ៉ាតាមដាន និងចរាចរណ៍ដែលផលិតដោយអ្នកលក់នេះ។

ពី Recon ទៅ Root: វដ្តជីវិតវាយប្រហាររបស់ PumaBot

នៅពេលដែលឧបករណ៍មួយត្រូវបានជ្រើសរើស PumaBot អនុវត្តការប៉ុនប៉ងចូល SSH brute-force នៅលើច្រក 22។ ប្រសិនបើជោគជ័យ វាដំណើរការ 'uname -a' ដើម្បីប្រមូលព័ត៌មានប្រព័ន្ធ និងផ្ទៀងផ្ទាត់ថាឧបករណ៍នេះមិនមែនជា Honeypot ទេ។ បន្ទាប់ពីការផ្ទៀងផ្ទាត់នេះ botnet៖

• សរសេរគោលពីរសំខាន់របស់វា (jierui) ទៅ /lib/redis
• ដំឡើងសេវាប្រព័ន្ធជាប់លាប់ (redis.service)
• បញ្ចូលសោ SSH ផ្ទាល់ខ្លួនរបស់វាទៅក្នុង authorized_keys សម្រាប់ការចូលប្រើរយៈពេលវែង សូម្បីតែបន្ទាប់ពីការសម្អាតប្រព័ន្ធក៏ដោយ។

លើសពីការឆ្លង៖ ការប្រតិបត្តិពាក្យបញ្ជា និងការលួចទិន្នន័យ

ជាមួយនឹងការចូលប្រើមានសុវត្ថិភាព PumaBot អាចប្រតិបត្តិពាក្យបញ្ជាបន្ថែម រួមទាំង៖

• ការដាក់ពង្រាយបន្ទុកថ្មី។
• ការទាញយកទិន្នន័យរសើប
• ការសម្របសម្រួលចលនានៅពេលក្រោយនៅក្នុងបណ្តាញ
• បន្ទុកដែលបានរកឃើញរួមមាន:
• ការធ្វើបច្ចុប្បន្នភាពស្គ្រីបដោយខ្លួនឯង។
• PAM rootkits ដែលជំនួស pam_unix.so
• daemon binary (ឈ្មោះ 1) ដើរតួជាអ្នកមើលឯកសារ

ម៉ូឌុល PAM ព្យាបាទកត់ត្រាអត្តសញ្ញាណ SSH ហើយរក្សាទុកពួកវាក្នុង con.txt ។ 1 ម៉ូនីទ័រប្រព័ន្ធគោលពីរសម្រាប់ឯកសារនេះ ហើយនៅពេលដែលបានរកឃើញ ចម្រាញ់វាទៅម៉ាស៊ីនមេ C2 មុនពេលលុបវាចេញពីប្រព័ន្ធមេរោគ — ចលនាដែលបានគណនាដើម្បីគ្របដណ្តប់បទរបស់វា។

វិសាលភាពដែលមិនស្គាល់ ប្រាក់ភ្នាល់ខ្ពស់៖ ការពង្រីកស្ងាត់របស់ PumaBot

អ្នកស្រាវជ្រាវមិនទាន់បានកំណត់ទំហំ ឬអត្រាជោគជ័យនៃយុទ្ធនាការរបស់ PumaBot នៅឡើយទេ។ វិសាលភាពនៃបញ្ជី IP គោលដៅនៅតែមិនច្បាស់លាស់។ ទោះជាយ៉ាងណាក៏ដោយ ការផ្តោតអារម្មណ៍របស់ botnet លើការជ្រៀតចូលបណ្តាញកាន់តែស៊ីជម្រៅ ជាជាងសកម្មភាពកម្រិតទាបដូចជាការវាយប្រហារ DDoS បង្ហាញថាវាបង្កការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះហេដ្ឋារចនាសម្ព័ន្ធសាជីវកម្ម និងសំខាន់ៗ។

បន្តទៅមុខ៖ ការការពារប្រឆាំងនឹង PumaBot និងប្រភេទរបស់វា។

ដើម្បីកាត់បន្ថយហានិភ័យនៃការសម្របសម្រួលដោយ PumaBot ឬការគំរាមកំហែងស្រដៀងគ្នានេះ៖

• ធ្វើបច្ចុប្បន្នភាពកម្មវិធីបង្កប់នៅលើឧបករណ៍ IoT ទាំងអស់។
• ផ្លាស់ប្តូរព័ត៌មានសម្ងាត់លំនាំដើម
• ដាក់ពង្រាយជញ្ជាំងភ្លើង និងរឹតបន្តឹងការចូលប្រើ SSH
• ផ្តាច់ឧបករណ៍ IoT នៅលើបណ្តាញដែលបានបែងចែក

ការអនុវត្តសុវត្ថិភាពសកម្មគឺចាំបាច់ដើម្បីរក្សាតួអង្គ botnet ឱ្យនៅស្ងៀម និងការពារបណ្តាញសហគ្រាសពីការរំលោភកាន់តែជ្រៅ។