Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Botnet PumaBot Botnet

PumaBot Botnet

Menjelang Mezo pada Botnet
Terjemahkan ke

Botnet Linux yang baru ditemui, digelar PumaBot, mendatangkan malapetaka pada peranti IoT terbenam. Ditulis dalam Go, perisian hasad ini menggunakan kaedah kekerasan untuk memecahkan kelayakan SSH, menggunakan muatan berniat jahat sebaik sahaja akses diperoleh. Tidak seperti botnet tradisional yang mengimbas Internet secara sembarangan, PumaBot memusatkan perhatian pada alamat IP tertentu yang diambil terus daripada pelayan Command-and-Control (C2)nya.

Penyasaran Ketepatan: Anjakan Taktikal dalam Eksploitasi IoT

PumaBot membezakan dirinya dengan menarik senarai sasaran IP yang dipilih susun daripada pelayan C2nya (ssh.ddos-cc.org), membolehkannya melakukan serangan berfokus tinggi. Pendekatan ini mengelakkan imbasan internet yang luas dan mencadangkan niat untuk menjejaskan organisasi atau peranti tertentu. Ia juga memeriksa peranti untuk rentetan 'Pumatronix' — petunjuk yang mungkin menunjukkan penyasaran sistem kamera pengawasan dan trafik yang dihasilkan oleh vendor ini.

Dari Recon ke Root: Kitaran Hayat Serangan PumaBot

Setelah peranti dipilih, PumaBot melakukan percubaan log masuk SSH brute-force pada port 22. Jika berjaya, ia menjalankan 'uname -a' untuk mengumpulkan maklumat sistem dan mengesahkan peranti itu bukan honeypot. Selepas pengesahan ini, botnet:

  • Menulis binari utamanya (jierui) ke /lib/redis
  • Memasang perkhidmatan sistem berterusan (redis.service)
  • Menyuntik kunci SSH sendiri ke dalam authorized_keys untuk akses jangka panjang, walaupun selepas pembersihan sistem

Melangkaui Jangkitan: Pelaksanaan Perintah dan Kecurian Data

Dengan akses terjamin, PumaBot boleh melaksanakan arahan selanjutnya, termasuk:

  • Menggunakan muatan baharu
  • Mengeluarkan data sensitif
  • Memudahkan pergerakan sisi dalam rangkaian
  • Muatan yang dikesan termasuk:
  • Skrip kemas kini sendiri
  • Rootkit PAM yang menggantikan pam_unix.so
  • Perduaan daemon (bernama 1) bertindak sebagai pemerhati fail

Modul PAM yang berniat jahat merekodkan bukti kelayakan SSH dan menyimpannya dalam con.txt. 1 pemantau binari untuk fail ini dan, setelah ditemui, mengeluarkannya ke pelayan C2 sebelum memadamkannya daripada sistem yang dijangkiti — langkah yang dikira untuk menutup jejaknya.

Skop Tidak Diketahui, Pertaruhan Tinggi: Pengembangan Senyap PumaBot

Penyelidik belum lagi menentukan skala atau kadar kejayaan kempen PumaBot. Sejauh mana senarai IP sasaran masih tidak jelas. Walau bagaimanapun, tumpuan botnet pada penyusupan rangkaian yang lebih mendalam, dan bukannya aktiviti gred rendah seperti serangan DDoS, mencadangkan ia menimbulkan ancaman besar kepada infrastruktur korporat dan kritikal.

Kekal di hadapan: Mempertahankan PumaBot dan Sejenisnya

Untuk mengurangkan risiko kompromi oleh PumaBot atau ancaman serupa:

  • Kemas kini perisian tegar pada semua peranti IoT
  • Tukar kelayakan lalai
  • Gunakan tembok api dan hadkan akses SSH
  • Asingkan peranti IoT pada rangkaian tersegmen

Amalan keselamatan yang proaktif adalah penting untuk memastikan aktor botnet diketepikan dan melindungi rangkaian perusahaan daripada pelanggaran yang lebih mendalam.

Trending

Paling banyak dilihat

Memuatkan...