Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Botnet Botnet PolarEdge

Botnet PolarEdge

Menjelang Mezo pada Botnet
Terjemahkan ke

Penyelidik keselamatan baru-baru ini telah membongkar mekanik keluarga botnet tertumpu penghala yang digelar PolarEdge. Gabungan komunikasi berasaskan TLS, helah konfigurasi terbenam, dan langkah anti-analisis yang disengajakan menjadikannya ancaman ketara kepada peralatan rangkaian rumah dan SMB.

Garis Masa Dan Penemuan

Penyelidik mula-mula mendokumentasikan PolarEdge pada Februari 2025, memautkannya kepada kempen yang menyasarkan penghala dan peranti NAS daripada berbilang vendor. Menjelang Ogos 2025, penganalisis telah memetakan kebanyakan infrastruktur botnet dan memerhati ciri yang konsisten dengan rangkaian gaya Peti Geganti Operasi (ORB). Telemetri retrospektif mencadangkan beberapa aktiviti PolarEdge mungkin bermula sejak Jun 2023.

Sasaran Dan Akses Awal

Peranti daripada vendor utama, termasuk Cisco, ASUS, QNAP, dan Synology, telah dikenal pasti sebagai sasaran, menyerlahkan bahawa kedua-dua penghala gred perusahaan dan gred pengguna serta sistem NAS berisiko dieksploitasi.

Dalam rantaian serangan Februari 2025, pelakon ancaman mengeksploitasi kerentanan Cisco yang diketahui (CVE-2023-20118) untuk mengambil skrip shell kecil yang dihantar FTP bernama 'q.' Peranan skrip itu adalah untuk mendapatkan dan melancarkan pintu belakang PolarEdge ELF pada hos yang terjejas.

Reka Bentuk Implan Teras

PolarEdge ialah implan ELF berkeupayaan TLS yang terutamanya:

  • Menghantar cap jari hos ke pelayan arahan dan kawalan (C2), kemudian
  • Menunggu arahan melalui pelayan TLS terbina dalam yang dilaksanakan menggunakan mbedTLS v2.8.0.

Tingkah laku lalai implan adalah untuk bertindak sebagai pelayan TLS menggunakan protokol binari tersuai. Satu medan protokol utama ialah HasCommand: apabila medan ini bersamaan dengan aksara ASCII 1, implan membaca medan Perintah, melaksanakan arahan yang ditentukan secara tempatan dan mengembalikan output arahan mentah kepada C2.

Mod Operasi

PolarEdge menyokong dua mod tambahan:

Mod sambung balik : implan bertindak sebagai klien TLS untuk menarik fail dari pelayan jauh.

Mod nyahpepijat : mod interaktif yang membenarkan pengendali mengubah parameter konfigurasi (contohnya, alamat pelayan) dengan cepat.

Konfigurasi Terbenam Dan Kekeliruan

Botnet menyimpan konfigurasi masa jalannya di dalam 512 bait terakhir imej ELF. Blok itu dikaburkan dengan XOR bait tunggal; penyelidik melaporkan kunci XOR ialah 0x11, yang mesti digunakan untuk memulihkan konfigurasi.

Operasi Fail

Selepas pelaksanaan, implan melakukan pergerakan dan penyingkiran sistem fail (contoh termasuk perduaan bergerak seperti /usr/bin/wget dan /sbin/curl dan memadamkan fail seperti /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Niat operasi yang tepat di sebalik tindakan ini tidak difahami sepenuhnya daripada data yang tersedia.

Teknik Pengelakan Dan Anti-analisis

PolarEdge menggabungkan pelbagai mekanisme pertahanan canggih yang direka untuk mengelakkan pengesanan dan menghalang analisis, menjadikannya lebih sukar bagi penyelidik keselamatan dan alat automatik untuk mengenal pasti gelagatnya dan membedah kerja dalamannya.

Ia menyembunyikan butiran permulaan pelayan TLS dan rutin cap jari melalui pengeliruan.

Semasa permulaan, ia melakukan proses penyamaran, memilih nama proses secara rawak daripada senarai terbina dalam untuk digabungkan dengan perkhidmatan sistem yang sah.

Beberapa nama yang mungkin termasuk:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Ketahanan Tanpa Kegigihan Klasik

PolarEdge nampaknya tidak memasang mekanisme kegigihan tradisional yang bertahan daripada but semula. Sebaliknya, ia melakukan helah masa jalan: ia bercabang dan kanak-kanak memproses tinjauan pendapat setiap 30 saat untuk menyemak sama ada direktori induk/proc/ masih wujud. Jika direktori itu hilang (menunjukkan proses induk telah hilang), kanak-kanak menjalankan perintah shell untuk melancarkan semula pintu belakang, dengan berkesan memberikan pemulihan masa jalan yang oportunistik dan bukannya kegigihan masa but kekal.

Pengambilan Defensif

Organisasi yang menguruskan penghala dan peranti NAS harus memastikan mereka menggunakan kemas kini vendor dan pengurangan untuk CVE-2023-20118 dan kelemahan pelaksanaan jauh yang serupa. Mereka harus memantau secara aktif aktiviti TLS luar biasa daripada peralatan rangkaian dan sambungan keluar ke hos yang tidak dijangka. Sama pentingnya untuk melihat tanda-tanda proses penyamaran dan sebarang perubahan atau pemadaman yang tidak dibenarkan bagi perduaan rangkaian dan skrip menghadap web.

 

Trending

Paling banyak dilihat

Memuatkan...