Vairāku licenču atlaides piedāvājums
Draudu datu bāze Bottīkli PolarEdge botneta

PolarEdge botneta

Līdz Mezo. gadam Bottīkli. gadā
Tulkot uz:

Drošības pētnieki nesen ir atklājuši maršrutētāju botnetu saimes, ko dēvē par PolarEdge, darbības mehānismu. Tā TLS balstītas komunikācijas, iegulto konfigurācijas triku un apzinātu antianalīzes pasākumu kombinācija padara to par ievērojamu apdraudējumu mājas un mazo un vidējo uzņēmumu tīkla ierīcēm.

Laika skala un atklājumi

Pētnieki pirmo reizi dokumentēja PolarEdge 2025. gada februārī, sasaistot to ar kampaņām, kuru mērķauditorija bija vairāku piegādātāju maršrutētāji un NAS ierīces. Līdz 2025. gada augustam analītiķi bija kartējuši lielu daļu botneta infrastruktūras un novērojuši pazīmes, kas atbilst operacionālās releja kastes (ORB) stila tīklam. Retrospektīvā telemetrija liecina, ka daļa PolarEdge aktivitātes varētu būt datēta jau ar 2023. gada jūniju.

Mērķi un sākotnējā piekļuve

Kā mērķi ir identificētas ierīces no galvenajiem pārdevējiem, tostarp Cisco, ASUS, QNAP un Synology, kas uzsver, ka gan uzņēmumu, gan patērētāju līmeņa maršrutētāji un NAS sistēmas ir pakļautas ekspluatācijas riskam.

2025. gada februāra uzbrukumu ķēdēs apdraudējumu dalībnieki izmantoja zināmu Cisco ievainojamību (CVE-2023-20118), lai ielādētu nelielu, ar FTP nodrošinātu čaulas skriptu ar nosaukumu “q”. Šī skripta uzdevums bija izgūt un palaist PolarEdge ELF aizmugurējās durvis apdraudētajā resursdatorā.

Kodola implanta dizains

PolarEdge ir TLS saderīgs ELF implants, kas galvenokārt:

  • Nosūta resursdatora pirkstu nospiedumu uz vadības un kontroles (C2) serveri un pēc tam
  • Gaida komandas, izmantojot iebūvētu TLS serveri, kas ieviests, izmantojot mbedTLS v2.8.0.

Implanta noklusējuma darbība ir kā TLS serveris, izmantojot pielāgotu bināro protokolu. Viens no galvenajiem protokola laukiem ir HasCommand: ja šī lauka vērtība ir vienāda ar ASCII rakstzīmi 1, implants nolasa Command lauku, lokāli izpilda norādīto komandu un atgriež neapstrādātu komandas izvadi C2.

Darbības režīmi

PolarEdge atbalsta divus papildu režīmus:

Atgriezeniskā savienojuma režīms : implants darbojas kā TLS klients, lai izgūtu failus no attāliem serveriem.

Atkļūdošanas režīms : interaktīvs režīms, kas ļauj operatoriem mainīt konfigurācijas parametrus (piemēram, serveru adreses) darbības laikā.

Iegultā konfigurācija un obfuscācija

Bottīkls saglabā savu izpildlaika konfigurāciju ELF attēla pēdējos 512 baitos. Šis bloks ir maskēts ar viena baita XOR; pētnieki ziņo, ka XOR atslēga ir 0x11, kas jāpielieto, lai atjaunotu konfigurāciju.

Failu operācijas

Pēc izpildes implants veic failu sistēmas pārvietošanu un noņemšanu (piemēri ietver tādu bināro failu kā /usr/bin/wget un /sbin/curl pārvietošanu un tādu failu kā /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak dzēšanu). Precīzs šo darbību operatīvais nolūks no pieejamajiem datiem nav pilnībā izprasts.

Izvairīšanās un antianalīzes metodes

PolarEdge ietver virkni sarežģītu aizsardzības mehānismu, kas paredzēti, lai izvairītos no atklāšanas un kavētu analīzi, apgrūtinot drošības pētniekiem un automatizētiem rīkiem tā uzvedības identificēšanu un iekšējās darbības analīzi.

Tas slēpj informāciju par sava TLS servera inicializāciju un pirkstu nospiedumu noņemšanas rutīnām, izmantojot obfukāciju.

Startēšanas laikā tā veic procesa maskēšanu, nejauši izvēloties procesa nosaukumu no iebūvēta saraksta, lai tas saplūstu ar likumīgiem sistēmas pakalpojumiem.

Daži no iespējamiem nosaukumiem ir šādi:

  • igmpproxy
  • WSCD
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Izturība bez klasiskās neatlaidības

Šķiet, ka PolarEdge neinstalē tradicionālu saglabāšanas mehānismu, kas izdzīvo pēc atkārtotas palaišanas. Tā vietā tas veic izpildlaika triku: tas veido atzarojumu, un bērnu process ik pēc 30 sekundēm veic aptauju, lai pārbaudītu, vai vecāku mape /proc/ joprojām pastāv. Ja šī mape pazūd (norādot, ka vecāku process ir pazudis), bērnu process palaiž čaulas komandu, lai atkārtoti palaistu aizmugurējo durvju atkopšanu, efektīvi nodrošinot oportūnistisku izpildlaika atkopšanu, nevis pastāvīgu saglabāšanu sāknēšanas laikā.

Aizsardzības secinājumi

Organizācijām, kas pārvalda maršrutētājus un NAS ierīces, jānodrošina, ka tās lieto piegādātāju atjauninājumus un mazināšanas pasākumus CVE-2023-20118 un līdzīgu attālās izpildes ievainojamību novēršanai. Tām aktīvi jāuzrauga neparasta TLS aktivitāte no tīkla ierīcēm un izejošajiem savienojumiem ar negaidītiem resursdatoriem. Tikpat svarīgi ir pievērst uzmanību procesu maskēšanas pazīmēm un jebkādām neatļautām tīkla bināro failu un tīmekļa skriptu izmaiņām vai dzēšanai.

 

Tendences

American Express — pierakstīšanās mēģinājums tika...

Pikšķerēšana, Mēstules
Kibernoziedznieki bieži izmanto uzticamu zīmolu atpazīstamību, lai pievilinātu neko nenojaušošus lietotājus atklāt sensitīvu informāciju. Krāpniecība “American Express — pierakstīšanās mēģinājums tika bloķēts” ir spilgts šīs taktikas piemērs. Šie e-pasti atdarina American Express drošības brīdinājumus, apgalvojot, ka aizdomīgs pierakstīšanās mēģinājums ir bloķēts, un mudinot saņēmēju...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,536
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...