PumaBot botnetas

Naujai atrastas „Linux“ botnetas, pavadintas „PumaBot“, siautėja įterptuosiuose daiktų interneto įrenginiuose. Ši kenkėjiška programa, parašyta „Go“ kalba, naudoja „brute-force“ metodus SSH prisijungimo duomenims nulaužti ir, gavus prieigą, paleidžia kenkėjiškas apkrovas. Skirtingai nuo tradicinių botnetų, kurie be atrankos nuskaito internetą, „PumaBot“ ieško konkrečių IP adresų, gaunamų tiesiai iš jo komandų ir valdymo (C2) serverio.

Tikslus taikymas: taktinis pokytis daiktų interneto išnaudojime

„PumaBot“ išsiskiria tuo, kad iš savo C2 serverio (ssh.ddos-cc.org) ištraukia kuruojamus IP adresų sąrašus, o tai leidžia vykdyti itin tikslines atakas. Toks metodas leidžia išvengti plataus masto interneto nuskaitymo ir rodo ketinimą pažeisti konkrečias organizacijas ar įrenginius. Jis netgi tikrina įrenginius, ieškodamas „Pumatronix“ eilutės – užuominos, kuri gali rodyti, kad taikiniu tapo šio tiekėjo sukurtos stebėjimo ir eismo kamerų sistemos.

Nuo žvalgybos iki šaknų: „PumaBot“ atakos gyvavimo ciklas

Pasirinkus įrenginį, „PumaBot“ atlieka „brute-force“ SSH prisijungimo bandymus per 22 prievadą. Jei tai sėkminga, vykdoma komanda „uname -a“, kad surinktų sistemos informaciją ir patikrintų, ar įrenginys nėra „medaus puodas“. Po šio patikrinimo botnetas:

• Įrašo pagrindinį dvejetainį failą (jierui) į /lib/redis
• Įdiegia nuolatinę „systemd“ paslaugą („redis.service“)
• Į authorized_keys įdeda savo SSH raktą ilgalaikei prieigai, net ir po sistemos valymo.

Už infekcijos ribų: komandų vykdymas ir duomenų vagystė

Užtikrinus prieigą, „PumaBot“ gali vykdyti papildomas komandas, įskaitant:

• Naujų naudingųjų apkrovų diegimas
• Neskelbtinų duomenų išgavimas
• Palengvinti šoninį judėjimą tinkluose
• Aptikti naudingieji kroviniai apima:
• Savaime atsinaujinantys scenarijai
• PAM rootkitai, kurie pakeičia pam_unix.so
• Demono dvejetainis failas (pavadintas 1), veikiantis kaip failų stebėtojas

Kenkėjiškas PAM modulis registruoja SSH prisijungimo duomenis ir saugo juos faile „con.txt“. 1 dvejetainis failas stebi šį failą ir, aptikęs, jį išfiltruoja į C2 serverį, o tada išvalo iš užkrėstos sistemos – tai apgalvotas žingsnis siekiant nuslėpti pėdsakus.

Nežinoma apimtis, dideli statymai: tylus „PumaBot“ plėtimasis

Tyrėjai dar nenustatė „PumaBot“ kampanijos masto ar sėkmės rodiklio. Tikslinių IP adresų sąrašų apimtis lieka neaiški. Tačiau botneto dėmesys gilesniam tinklo įsiskverbimui, o ne žemos kokybės veiklai, pavyzdžiui, DDoS atakoms, rodo, kad jis kelia didelę grėsmę įmonių ir ypatingos svarbos infrastruktūrai.

Būkite priekyje: gynyba nuo „PumaBot“ ir panašių virusų

Norėdami sumažinti „PumaBot“ ar panašių grėsmių keliamą įsilaužimo riziką:

• Atnaujinkite visų daiktų interneto įrenginių programinę įrangą
• Pakeisti numatytuosius prisijungimo duomenis
• Įdiekite ugniasienes ir apribokite prieigą prie SSH
• Izoliuokite daiktų interneto įrenginius segmentuotuose tinkluose

Proaktyvios saugumo praktikos yra būtinos siekiant atbaidyti botnetų veikėjus ir apsaugoti įmonių tinklus nuo gilesnių pažeidimų.