Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Botnets PolarEdge-botnet

PolarEdge-botnet

Tegen Mezo in Botnets
Vertalen naar:

Beveiligingsonderzoekers hebben onlangs de werking van een routergerichte botnetfamilie, PolarEdge genaamd, ontrafeld. De combinatie van TLS-gebaseerde communicatie, ingebouwde configuratietrucs en opzettelijke anti-analysemaatregelen maakt het een aanzienlijke bedreiging voor thuis- en MKB-netwerkapparaten.

Tijdlijn en ontdekking

Onderzoekers documenteerden PolarEdge voor het eerst in februari 2025 en koppelden het aan campagnes die gericht waren op routers en NAS-apparaten van meerdere leveranciers. Tegen augustus 2025 hadden analisten een groot deel van de infrastructuur van het botnet in kaart gebracht en kenmerken waargenomen die overeenkwamen met een netwerk in de stijl van een Operational Relay Box (ORB). Retrospectieve telemetrie suggereert dat er al sinds juni 2023 enige activiteit van PolarEdge plaatsvond.

Doelen en eerste toegang

Apparaten van grote leveranciers, waaronder Cisco, ASUS, QNAP en Synology, zijn geïdentificeerd als doelwitten. Dit onderstreept dat zowel routers en NAS-systemen voor bedrijven als voor consumenten risico lopen op misbruik.

In de aanvalsketens van februari 2025 maakten kwaadwillenden misbruik van een bekende kwetsbaarheid van Cisco (CVE-2023-20118) om een klein via FTP geleverd shellscript met de naam 'q' op te halen. De rol van dat script was om de PolarEdge ELF-backdoor op de gecompromitteerde host op te halen en te starten.

Kernimplantaatontwerp

PolarEdge is een TLS-compatibel ELF-implantaat dat voornamelijk:

  • Stuurt een host-vingerafdruk naar een command-and-control (C2)-server en
  • Wacht op opdrachten via een ingebouwde TLS-server die is geïmplementeerd met behulp van mbedTLS v2.8.0.

Standaard fungeert het implantaat als TLS-server met behulp van een aangepast binair protocol. Eén belangrijk protocolveld is HasCommand: wanneer dit veld gelijk is aan het ASCII-teken 1, leest het implantaat het Command-veld, voert de opgegeven opdracht lokaal uit en retourneert de onbewerkte opdrachtuitvoer naar de C2.

Werkingsmodi

PolarEdge ondersteunt twee extra modi:

Connect-back-modus : het implantaat gedraagt zich als een TLS-client om bestanden van externe servers op te halen.

Debugmodus : een interactieve modus waarmee operators configuratieparameters (bijvoorbeeld serveradressen) direct kunnen wijzigen.

Ingebedde configuratie en verduistering

Het botnet slaat zijn runtimeconfiguratie op in de laatste 512 bytes van de ELF-image. Dat blok wordt verduisterd met een XOR van één byte; de onderzoekers melden dat de XOR-sleutel 0x11 is, die moet worden toegepast om de configuratie te herstellen.

Bestandsbewerkingen

Na uitvoering voert het implantaat verplaatsingen en verwijderingen van bestandssystemen uit (voorbeelden zijn het verplaatsen van binaire bestanden zoals /usr/bin/wget en /sbin/curl, en het verwijderen van bestanden zoals /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). De precieze operationele bedoeling achter deze acties is niet volledig duidelijk op basis van de beschikbare gegevens.

Ontwijkings- en anti-analysetechnieken

PolarEdge beschikt over een reeks geavanceerde verdedigingsmechanismen die zijn ontworpen om detectie te omzeilen en analyse te belemmeren. Hierdoor wordt het voor beveiligingsonderzoekers en geautomatiseerde tools moeilijker om het gedrag van PolarEdge te identificeren en de interne werking ervan te analyseren.

Het verbergt details van de initialisatie- en vingerafdrukroutines van de TLS-server door middel van verduistering.

Tijdens het opstarten wordt procesmaskering toegepast, waarbij willekeurig een procesnaam uit een ingebouwde lijst wordt gekozen en deze wordt samengevoegd met legitieme systeemservices.

Mogelijke namen zijn onder meer:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Veerkracht zonder klassieke volharding

PolarEdge lijkt geen traditioneel persistentiemechanisme te installeren dat reboots overleeft. In plaats daarvan voert het een runtime-truc uit: het splitst en het onderliggende proces controleert elke 30 seconden of de map /proc/ van het bovenliggende proces nog bestaat. Als die map verdwijnt (wat aangeeft dat het bovenliggende proces verdwenen is), voert het onderliggende proces een shell-opdracht uit om de backdoor opnieuw te starten, wat in feite opportunistisch runtime-herstel biedt in plaats van permanente boottime-persistentie.

Defensieve afhaalmaaltijden

Organisaties die routers en NAS-apparaten beheren, moeten ervoor zorgen dat ze updates en mitigerende maatregelen van leveranciers toepassen voor CVE-2023-20118 en vergelijkbare kwetsbaarheden voor uitvoering op afstand. Ze moeten actief controleren op ongebruikelijke TLS-activiteit van netwerkapparaten en uitgaande verbindingen naar onverwachte hosts. Het is net zo belangrijk om te letten op tekenen van procesmaskering en ongeautoriseerde wijzigingen of verwijderingen van netwerkbestanden en webgerichte scripts.


Trending

Meest bekeken

Bezig met laden...