PumaBot Botnet

भर्खरै पत्ता लागेको लिनक्स बोटनेट, जसलाई PumaBot भनिन्छ, ले एम्बेडेड IoT उपकरणहरूमा विनाश मच्चाइरहेको छ। Go मा लेखिएको, यो मालवेयरले SSH प्रमाणपत्रहरू क्र्याक गर्न ब्रूट-फोर्स विधिहरू प्रयोग गर्दछ, पहुँच प्राप्त भएपछि दुर्भावनापूर्ण पेलोडहरू तैनाथ गर्दछ। इन्टरनेटलाई अन्धाधुन्ध स्क्यान गर्ने परम्परागत बोटनेटहरू भन्दा फरक, PumaBot ले यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट सिधै प्राप्त गरिएका विशिष्ट IP ठेगानाहरूमा शून्य गर्दछ।

सटीक लक्ष्यीकरण: IoT शोषणमा रणनीतिक परिवर्तन

PumaBot ले यसको C2 सर्भर (ssh.ddos-cc.org) बाट क्युरेट गरिएको IP लक्ष्य सूचीहरू तान्दै आफूलाई अलग गर्छ, जसले यसलाई अत्यधिक केन्द्रित आक्रमणहरू सञ्चालन गर्न अनुमति दिन्छ। यो दृष्टिकोणले व्यापक इन्टरनेट स्क्यानहरूलाई बेवास्ता गर्छ र विशिष्ट संस्थाहरू वा उपकरणहरूलाई सम्झौता गर्ने उद्देश्यलाई सुझाव दिन्छ। यसले 'Pumatronix' स्ट्रिङको लागि उपकरणहरूको निरीक्षण पनि गर्छ - यो विक्रेताद्वारा उत्पादित निगरानी र ट्राफिक क्यामेरा प्रणालीहरूको लक्षिततालाई संकेत गर्ने संकेत गर्ने एउटा संकेत हो।

रिकनबाट रुटसम्म: प्युमाबोटको आक्रमण जीवनचक्र

एक पटक उपकरण छनौट गरिसकेपछि, PumaBot ले पोर्ट २२ मा ब्रूट-फोर्स SSH लगइन प्रयासहरू गर्दछ। यदि सफल भएमा, यसले प्रणाली जानकारी सङ्कलन गर्न र उपकरण हनीपोट होइन भनेर प्रमाणित गर्न 'uname -a' चलाउँछ। यो प्रमाणीकरण पछि, बोटनेट:

• यसको मुख्य बाइनरी (jierui) /lib/redis मा लेख्छ
• एक निरन्तर systemd सेवा (redis.service) स्थापना गर्दछ
• प्रणाली सफा गरेपछि पनि दीर्घकालीन पहुँचको लागि authorized_keys मा आफ्नै SSH कुञ्जी इन्जेक्ट गर्छ।

संक्रमणभन्दा बाहिर: आदेश कार्यान्वयन र डेटा चोरी

पहुँच सुरक्षित भएपछि, PumaBot ले थप आदेशहरू कार्यान्वयन गर्न सक्छ, जसमा समावेश छन्:

• नयाँ पेलोडहरू तैनाथ गर्दै
• संवेदनशील डेटा बाहिर निकाल्दै
• नेटवर्कहरू भित्र पार्श्व आन्दोलनलाई सहज बनाउने
• पत्ता लगाइएका पेलोडहरूमा समावेश छन्:
• स्व-अद्यावधिक लिपिहरू
• pam_unix.so लाई प्रतिस्थापन गर्ने PAM रुटकिटहरू
• फाइल वाचरको रूपमा काम गर्ने डेमन बाइनरी (१ नाम दिइएको)

दुर्भावनापूर्ण PAM मोड्युलले SSH प्रमाणपत्रहरू लग गर्छ र तिनीहरूलाई con.txt मा भण्डारण गर्छ। यस फाइलको लागि १ बाइनरी मनिटरहरू र, एक पटक फेला परेपछि, संक्रमित प्रणालीबाट यसलाई मेटाउनु अघि यसलाई C2 सर्भरमा एक्सफिल्टर गर्दछ - यसको ट्र्याकहरू कभर गर्नको लागि गणना गरिएको चाल।

अज्ञात क्षेत्र, उच्च दांव: पुमाबोटको मौन विस्तार

अनुसन्धानकर्ताहरूले अझैसम्म PumaBot को अभियानको स्केल वा सफलता दर निर्धारण गरेका छैनन्। लक्षित IP सूचीहरूको हद अस्पष्ट छ। यद्यपि, DDoS आक्रमणहरू जस्ता कम-ग्रेड गतिविधिहरूको सट्टा गहिरो नेटवर्क घुसपैठमा बोटनेटको ध्यान केन्द्रित भएकोले यसले कर्पोरेट र महत्वपूर्ण पूर्वाधारको लागि महत्त्वपूर्ण खतरा निम्त्याउने सुझाव दिन्छ।

अगाडि रहनुहोस्: PumaBot र यसको प्रकार विरुद्ध बचाउ

PumaBot वा यस्तै प्रकारका धम्कीहरूबाट हुने सम्झौताको जोखिम कम गर्न:

• सबै IoT उपकरणहरूमा फर्मवेयर अपडेट गर्नुहोस्
• पूर्वनिर्धारित प्रमाणपत्रहरू परिवर्तन गर्नुहोस्
• फायरवालहरू तैनाथ गर्नुहोस् र SSH पहुँच प्रतिबन्धित गर्नुहोस्
• खण्डित नेटवर्कहरूमा IoT उपकरणहरू अलग गर्नुहोस्

बोटनेट एक्टरहरूलाई टाढा राख्न र उद्यम नेटवर्कहरूलाई गहिरो उल्लङ्घनबाट जोगाउन सक्रिय सुरक्षा अभ्यासहरू आवश्यक छन्।