Vairāku licenču atlaides piedāvājums
Draudu datu bāze Bottīkli PumaBot botnets

PumaBot botnets

Līdz Mezo. gadam Bottīkli. gadā
Tulkot uz:

Jaunatklāts Linux bottīkls ar nosaukumu PumaBot nodara postījumus iegultajās lietu interneta (IoT) ierīcēs. Šī ļaunprogrammatūra, kas rakstīta Go valodā, izmanto brutālas spēka metodes, lai uzlauztu SSH akreditācijas datus, izvietojot ļaunprātīgu slodzi, tiklīdz piekļuve tiek iegūta. Atšķirībā no tradicionālajiem bottīkliem, kas bez izšķirības skenē internetu, PumaBot koncentrējas uz konkrētām IP adresēm, kas tiek iegūtas tieši no tā komandvadības (C2) servera.

Precīza mērķēšana: taktiska maiņa lietu interneta izmantošanā

PumaBot izceļas ar to, ka no sava C2 servera (ssh.ddos-cc.org) iegūst atlasītus IP mērķu sarakstus, kas ļauj veikt ļoti mērķtiecīgus uzbrukumus. Šī pieeja ļauj izvairīties no plašas interneta skenēšanas un liek domāt par nodomu apdraudēt konkrētas organizācijas vai ierīces. Tā pat pārbauda ierīces, meklējot virkni “Pumatronix” — norādi, kas var liecināt par šī pārdevēja ražoto novērošanas un satiksmes kameru sistēmu mērķēšanu.

No izlūkošanas līdz saknei: PumaBot uzbrukuma dzīves cikls

Kad ierīce ir izvēlēta, PumaBot veic brutāla spēka SSH pieteikšanās mēģinājumus 22. portā. Ja tas izdodas, tas palaiž komandu 'uname -a', lai apkopotu sistēmas informāciju un pārbaudītu, vai ierīce nav medus pods. Pēc šīs pārbaudes botnets:

  • Ieraksta savu galveno bināro failu (jierui) mapē /lib/redis
  • Instalē pastāvīgu systemd pakalpojumu (redis.service)
  • Ievada savu SSH atslēgu authorized_keys ilgtermiņa piekļuvei pat pēc sistēmas tīrīšanas.

Vairāk nekā inficēšanās: komandu izpilde un datu zādzība

Kad piekļuve ir nodrošināta, PumaBot var izpildīt papildu komandas, tostarp:

  • Jaunu vērtumu izvietošana
  • Sensitīvu datu izvilkšana
  • Sānu kustības veicināšana tīklos
  • Atklātās lietderīgās slodzes ietver:
  • Pašatjauninoši skripti
  • PAM rootkit, kas aizstāj pam_unix.so
  • Dēmona binārais fails (nosaukts par 1), kas darbojas kā failu vērotājs

Ļaunprātīgais PAM modulis reģistrē SSH akreditācijas datus un saglabā tos con.txt failā. 1. binārais fails uzrauga šo failu un, tiklīdz tas tiek atrasts, nosūta to uz C2 serveri, pirms to izdzēš no inficētās sistēmas — apzināta rīcība, lai slēptu pēdas.

Nezināms tvērums, augstas likmes: PumaBot klusā paplašināšanās

Pētnieki vēl nav noteikuši PumaBot kampaņas apmēru vai veiksmes līmeni. Mērķa IP sarakstu apjoms joprojām nav skaidrs. Tomēr botneta koncentrēšanās uz dziļāku tīkla iefiltrēšanos, nevis uz zemas pakāpes darbībām, piemēram, DDoS uzbrukumiem, liecina, ka tas rada ievērojamus draudus korporatīvajai un kritiskajai infrastruktūrai.

Esiet soli priekšā: aizsardzība pret PumaBot un līdzīgajiem robotiem

Lai samazinātu PumaBot vai līdzīgu draudu apdraudējuma risku:

  • Atjauniniet programmaparatūru visās IoT ierīcēs
  • Mainīt noklusējuma akreditācijas datus
  • Izvietojiet ugunsmūrus un ierobežojiet piekļuvi SSH
  • Izolēt IoT ierīces segmentētos tīklos

Proaktīvas drošības prakses ir būtiskas, lai atvairītu botnetu dalībniekus un aizsargātu uzņēmumu tīklus no dziļākiem pārkāpumiem.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
34,096
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...