PolarEdge बोटनेट

सुरक्षा अनुसन्धानकर्ताहरूले हालै PolarEdge भनिने राउटर-केन्द्रित बोटनेट परिवारको मेकानिक्स खोलेका छन्। यसको TLS-आधारित सञ्चार, एम्बेडेड कन्फिगरेसन ट्रिक्स, र जानाजानी विश्लेषण विरोधी उपायहरूको संयोजनले यसलाई घर र SMB नेटवर्क उपकरणहरूको लागि एक उल्लेखनीय खतरा बनाउँछ।

समयरेखा र खोज

अनुसन्धानकर्ताहरूले पहिलो पटक फेब्रुअरी २०२५ मा PolarEdge को दस्तावेजीकरण गरे, यसलाई धेरै विक्रेताहरूबाट राउटरहरू र NAS उपकरणहरूलाई लक्षित गर्ने अभियानहरूसँग जोड्दै। अगस्ट २०२५ सम्ममा, विश्लेषकहरूले बोटनेटको धेरैजसो पूर्वाधारको म्यापिङ गरिसकेका थिए र अपरेशनल रिले बक्स (ORB) शैली नेटवर्कसँग मिल्दोजुल्दो विशेषताहरू अवलोकन गरेका थिए। रेट्रोस्पेक्टिभ टेलिमेट्रीले केही PolarEdge गतिविधि जुन २०२३ सम्मको हुन सक्ने सुझाव दिन्छ।

लक्ष्य र प्रारम्भिक पहुँच

सिस्को, ASUS, QNAP, र Synology लगायत प्रमुख विक्रेताहरूका उपकरणहरूलाई लक्ष्यको रूपमा पहिचान गरिएको छ, जसले उद्यम-ग्रेड र उपभोक्ता-ग्रेड राउटरहरू र NAS प्रणालीहरू दुवै शोषणको जोखिममा रहेको कुरालाई प्रकाश पार्छ।

फेब्रुअरी २०२५ को आक्रमण शृङ्खलाहरूमा, खतरा अभिनेताहरूले 'q' नामक सानो FTP-डेलिभर गरिएको शेल स्क्रिप्ट प्राप्त गर्न ज्ञात सिस्को जोखिम (CVE-2023-20118) को दुरुपयोग गरे। त्यो स्क्रिप्टको भूमिका सम्झौता गरिएको होस्टमा PolarEdge ELF ब्याकडोर पुन: प्राप्त गर्ने र सुरु गर्ने थियो।

कोर इम्प्लान्ट डिजाइन

PolarEdge एक TLS-सक्षम ELF इम्प्लान्ट हो जुन मुख्य रूपमा:

• कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा होस्ट फिंगरप्रिन्ट पठाउँछ, त्यसपछि
• mbedTLS v2.8.0 प्रयोग गरेर कार्यान्वयन गरिएको निर्मित TLS सर्भरमा आदेशहरूको लागि पर्खन्छ।

इम्प्लान्टको पूर्वनिर्धारित व्यवहार भनेको अनुकूलन बाइनरी प्रोटोकल प्रयोग गरेर TLS सर्भरको रूपमा कार्य गर्नु हो। एउटा प्रमुख प्रोटोकल फिल्ड HasCommand हो: जब यो फिल्ड ASCII क्यारेक्टर १ बराबर हुन्छ, इम्प्लान्टले कमाण्ड फिल्ड पढ्छ, स्थानीय रूपमा निर्दिष्ट आदेश कार्यान्वयन गर्छ, र कच्चा आदेश आउटपुट C2 मा फर्काउँछ।

सञ्चालनका मोडहरू

PolarEdge ले दुई अतिरिक्त मोडहरूलाई समर्थन गर्दछ:

कनेक्ट-ब्याक मोड : इम्प्लान्टले रिमोट सर्भरबाट फाइलहरू तान्न TLS क्लाइन्टको रूपमा व्यवहार गर्छ।

डिबग मोड : एक अन्तरक्रियात्मक मोड जसले अपरेटरहरूलाई उडानमा कन्फिगरेसन प्यारामिटरहरू (उदाहरणका लागि, सर्भर ठेगानाहरू) परिवर्तन गर्न अनुमति दिन्छ।

इम्बेडेड कन्फिगरेसन र अस्पष्टता

बोटनेटले आफ्नो रनटाइम कन्फिगरेसन ELF छविको अन्तिम ५१२ बाइट भित्र भण्डारण गर्दछ। त्यो ब्लक एकल-बाइट XOR ले अस्पष्ट छ; अनुसन्धानकर्ताहरूले XOR कुञ्जी ०x११ भएको रिपोर्ट गर्छन्, जुन कन्फिगरेसन पुन: प्राप्ति गर्न लागू गर्नुपर्छ।

फाइल सञ्चालनहरू

कार्यान्वयन पछि, इम्प्लान्टले फाइल प्रणाली चाल र हटाउने कार्य गर्दछ (उदाहरणहरूमा /usr/bin/wget र /sbin/curl जस्ता बाइनरीहरू सार्ने, र /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak जस्ता फाइलहरू मेटाउने समावेश छ)। उपलब्ध डेटाबाट यी कार्यहरू पछाडिको सटीक सञ्चालन उद्देश्य पूर्ण रूपमा बुझिएको छैन।

चोरी र विश्लेषण विरोधी प्रविधिहरू

PolarEdge ले पत्ता लगाउनबाट बच्न र विश्लेषणमा बाधा पुर्‍याउन डिजाइन गरिएका परिष्कृत रक्षात्मक संयन्त्रहरूको दायरा समावेश गर्दछ, जसले गर्दा सुरक्षा अनुसन्धानकर्ताहरू र स्वचालित उपकरणहरूलाई यसको व्यवहार पहिचान गर्न र यसको भित्री कार्यहरूको विश्लेषण गर्न गाह्रो हुन्छ।

यसले यसको TLS सर्भर प्रारम्भिकीकरण र फिंगरप्रिन्टिङ दिनचर्याहरूको विवरण अस्पष्टता मार्फत लुकाउँछ।

स्टार्टअपको समयमा, यसले प्रक्रिया मास्करेडिङ गर्छ, वैध प्रणाली सेवाहरूसँग मिलाउनको लागि निर्मित सूचीबाट अनियमित रूपमा प्रक्रिया नाम छनौट गर्छ।

केही सम्भावित नामहरू समावेश छन्:

• igmpproxy ले
• डब्लुएससीडी
• /sbin/dhcpd
• httpdLanguage
• upnpd ले
• आईएप

क्लासिक दृढता बिना लचिलोपन

PolarEdge ले रिबुटहरूमा बाँच्ने परम्परागत पर्सिस्टन्स मेकानिजम स्थापना गरेको देखिँदैन। यसको सट्टा, यसले रनटाइम ट्रिक गर्छ: यसले प्रत्येक ३० सेकेन्डमा फोर्क गर्छ र चाइल्ड प्रोसेस पोल गर्छ ताकि अभिभावकको/proc/ डाइरेक्टरी अझै अवस्थित छ कि छैन भनेर जाँच गर्न सकियोस्। यदि त्यो डाइरेक्टरी गायब हुन्छ (अभिभावक प्रक्रिया गएको संकेत गर्दै), चाइल्डले ब्याकडोर पुन: सुरु गर्न शेल कमाण्ड चलाउँछ, जसले प्रभावकारी रूपमा स्थायी बुट-टाइम पर्सिस्टन्सको सट्टा अवसरवादी रनटाइम रिकभरी प्रदान गर्दछ।

रक्षात्मक टेकवेहरू

राउटरहरू र NAS उपकरणहरू प्रबन्ध गर्ने संस्थाहरूले CVE-2023-20118 र यस्तै रिमोट-कार्यान्वयन कमजोरीहरूको लागि विक्रेता अद्यावधिकहरू र न्यूनीकरणहरू लागू गर्छन् भनी सुनिश्चित गर्नुपर्छ। तिनीहरूले नेटवर्क उपकरणहरू र अप्रत्याशित होस्टहरूमा आउटबाउन्ड जडानहरूबाट असामान्य TLS गतिविधिको लागि सक्रिय रूपमा निगरानी गर्नुपर्छ। प्रक्रिया मास्करेडिङका संकेतहरू र नेटवर्किङ बाइनरीहरू र वेब-फेसिङ स्क्रिप्टहरूको कुनै पनि अनधिकृत परिवर्तन वा मेटाउने कुराहरू हेर्नु पनि उत्तिकै महत्त्वपूर्ण छ।