Rabatttilbud for flere lisenser
Trusseldatabase Botnett PolarEdge Botnett

PolarEdge Botnett

Med Mezo i Botnett
Oversett til:

Sikkerhetsforskere har nylig avdekket mekanikken til en ruterfokusert botnettfamilie kalt PolarEdge. Kombinasjonen av TLS-basert kommunikasjon, innebygde konfigurasjonstriks og bevisste antianalysetiltak gjør den til en betydelig trussel mot nettverksapparater i hjemmet og små og mellomstore bedrifter.

Tidslinje og oppdagelse

Forskere dokumenterte PolarEdge først i februar 2025, og koblet det til kampanjer som var rettet mot rutere og NAS-enheter fra flere leverandører. Innen august 2025 hadde analytikere kartlagt mye av botnettets infrastruktur og observert trekk som var i samsvar med et nettverk i ORB-stil (Operational Relay Box). Retrospektiv telemetri tyder på at noe PolarEdge-aktivitet kan dateres helt tilbake til juni 2023.

Mål og første tilgang

Enheter fra store leverandører, inkludert Cisco, ASUS, QNAP og Synology, har blitt identifisert som mål, noe som understreker at både rutere og NAS-systemer i bedrifts- og forbrukerklassen er i faresonen for utnyttelse.

I angrepskjedene i februar 2025 utnyttet trusselaktører en kjent Cisco-sårbarhet (CVE-2023-20118) for å hente et lite FTP-levert skallskript kalt «q». Skriptets rolle var å hente og starte PolarEdge ELF-bakdøren på den kompromitterte verten.

Kjerneimplantatdesign

PolarEdge er et TLS-kompatibelt ELF-implantat som hovedsakelig:

  • Sender et vertsfingeravtrykk til en kommando-og-kontroll-server (C2), og deretter
  • Venter på kommandoer over en innebygd TLS-server implementert med mbedTLS v2.8.0.

Implantatets standardoppførsel er å fungere som en TLS-server ved hjelp av en tilpasset binær protokoll. Et viktig protokollfelt er HasCommand: når dette feltet er lik ASCII-tegnet 1, leser implantatet Command-feltet, utfører den angitte kommandoen lokalt og returnerer den rå kommandoutgangen til C2.

Driftsmoduser

PolarEdge støtter to ekstra moduser:

Tilkoblingsmodus : implantatet oppfører seg som en TLS-klient for å hente filer fra eksterne servere.

Feilsøkingsmodus : en interaktiv modus som lar operatører endre konfigurasjonsparametere (for eksempel serveradresser) mens de er i drift.

Innebygd konfigurasjon og obfuskasjon

Botnettet lagrer kjøretidskonfigurasjonen sin i de siste 512 bytene av ELF-bildet. Denne blokken er tilslørt med en enkeltbyte XOR; forskerne rapporterer at XOR-nøkkelen er 0x11, som må brukes for å gjenopprette konfigurasjonen.

Filoperasjoner

Etter utførelse utfører implantatet flytting og fjerning av filsystemer (eksempler inkluderer flytting av binærfiler som /usr/bin/wget og /sbin/curl, og sletting av filer som /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Den nøyaktige operasjonelle hensikten bak disse handlingene er ikke fullt ut forstått ut fra tilgjengelige data.

Unnvikelses- og antianalyseteknikker

PolarEdge inneholder en rekke sofistikerte forsvarsmekanismer som er utformet for å unngå deteksjon og hindre analyse, noe som gjør det vanskeligere for sikkerhetsforskere og automatiserte verktøy å identifisere dens oppførsel og dissekere dens indre virkemåte.

Den skjuler detaljer om TLS-serverinitialiseringen og fingeravtrykksrutinene via obfuskering.

Under oppstart utfører den prosessmaskering, ved å tilfeldig velge et prosessnavn fra en innebygd liste for å blande seg med legitime systemtjenester.

Noen av de mulige navnene inkluderer:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • oppgradering
  • iapp

Motstandskraft uten klassisk utholdenhet

PolarEdge ser ikke ut til å installere en tradisjonell persistensmekanisme som overlever omstarter. I stedet utfører den et runtime-triks: den forker, og barneprosessen sender en avspørring hvert 30. sekund for å sjekke om foreldrekatalogen /proc/ fortsatt eksisterer. Hvis den katalogen forsvinner (noe som indikerer at foreldreprosessen er borte), kjører barneprosessen en shell-kommando for å starte bakdøren på nytt, noe som effektivt gir opportunistisk gjenoppretting av kjøretid i stedet for permanent persistens under oppstart.

Defensive konklusjoner

Organisasjoner som administrerer rutere og NAS-enheter bør sørge for at de bruker leverandøroppdateringer og begrensninger for CVE-2023-20118 og lignende sårbarheter for ekstern kjøring. De bør aktivt overvåke uvanlig TLS-aktivitet fra nettverksenheter og utgående tilkoblinger til uventede verter. Det er like viktig å se etter tegn på prosessmaske og eventuelle uautoriserte endringer eller slettinger av nettverksbinærfiler og nettbaserte skript.

 

Trender

Mest sett

Laster inn...