PolarEdge ਬੋਟਨੈੱਟ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਪੋਲਰਐਜ ਨਾਮਕ ਇੱਕ ਰਾਊਟਰ-ਕੇਂਦ੍ਰਿਤ ਬੋਟਨੈੱਟ ਪਰਿਵਾਰ ਦੇ ਮਕੈਨਿਕਸ ਨੂੰ ਖੋਲ੍ਹਿਆ ਹੈ। ਇਸਦੇ TLS-ਅਧਾਰਤ ਸੰਚਾਰ, ਏਮਬੈਡਡ ਕੌਂਫਿਗਰੇਸ਼ਨ ਟ੍ਰਿਕਸ, ਅਤੇ ਜਾਣਬੁੱਝ ਕੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿਰੋਧੀ ਉਪਾਵਾਂ ਦਾ ਸੁਮੇਲ ਇਸਨੂੰ ਘਰੇਲੂ ਅਤੇ SMB ਨੈੱਟਵਰਕ ਉਪਕਰਣਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਬਣਾਉਂਦਾ ਹੈ।

ਸਮਾਂਰੇਖਾ ਅਤੇ ਖੋਜ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਫਰਵਰੀ 2025 ਵਿੱਚ ਪੋਲਰਐਜ ਨੂੰ ਦਸਤਾਵੇਜ਼ੀ ਰੂਪ ਦਿੱਤਾ, ਇਸਨੂੰ ਉਹਨਾਂ ਮੁਹਿੰਮਾਂ ਨਾਲ ਜੋੜਿਆ ਜੋ ਕਈ ਵਿਕਰੇਤਾਵਾਂ ਤੋਂ ਰਾਊਟਰਾਂ ਅਤੇ NAS ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਸਨ। ਅਗਸਤ 2025 ਤੱਕ, ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਬੋਟਨੈੱਟ ਦੇ ਜ਼ਿਆਦਾਤਰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਮੈਪ ਕਰ ਲਿਆ ਸੀ ਅਤੇ ਇੱਕ ਓਪਰੇਸ਼ਨਲ ਰੀਲੇਅ ਬਾਕਸ (ORB) ਸ਼ੈਲੀ ਨੈੱਟਵਰਕ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਗੁਣਾਂ ਨੂੰ ਦੇਖਿਆ ਸੀ। ਰੀਟਰੋਸਪੈਕਟਿਵ ਟੈਲੀਮੈਟਰੀ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ ਕਿ ਕੁਝ ਪੋਲਰਐਜ ਗਤੀਵਿਧੀ ਜੂਨ 2023 ਤੱਕ ਪੁਰਾਣੀ ਹੋ ਸਕਦੀ ਹੈ।

ਟੀਚੇ ਅਤੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ

ਸਿਸਕੋ, ਏਐਸਯੂਐਸ, ਕਿਊਐਨਏਪੀ, ਅਤੇ ਸਿਨੋਲੋਜੀ ਸਮੇਤ ਪ੍ਰਮੁੱਖ ਵਿਕਰੇਤਾਵਾਂ ਦੇ ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਜੋ ਇਹ ਉਜਾਗਰ ਕਰਦੇ ਹਨ ਕਿ ਐਂਟਰਪ੍ਰਾਈਜ਼-ਗ੍ਰੇਡ ਅਤੇ ਖਪਤਕਾਰ-ਗ੍ਰੇਡ ਰਾਊਟਰ ਅਤੇ ਐਨਏਐਸ ਸਿਸਟਮ ਦੋਵੇਂ ਸ਼ੋਸ਼ਣ ਦੇ ਜੋਖਮ ਵਿੱਚ ਹਨ।

ਫਰਵਰੀ 2025 ਦੇ ਹਮਲੇ ਦੀਆਂ ਚੇਨਾਂ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ 'q' ਨਾਮਕ ਇੱਕ ਛੋਟੀ FTP-ਡਿਲੀਵਰ ਕੀਤੀ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਜਾਣੀ-ਪਛਾਣੀ Cisco ਕਮਜ਼ੋਰੀ (CVE-2023-20118) ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ। ਉਸ ਸਕ੍ਰਿਪਟ ਦੀ ਭੂਮਿਕਾ ਸਮਝੌਤਾ ਕੀਤੇ ਹੋਸਟ 'ਤੇ PolarEdge ELF ਬੈਕਡੋਰ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਲਾਂਚ ਕਰਨਾ ਸੀ।

ਕੋਰ ਇਮਪਲਾਂਟ ਡਿਜ਼ਾਈਨ

ਪੋਲਰਐਜ ਇੱਕ TLS-ਸਮਰੱਥ ELF ਇਮਪਲਾਂਟ ਹੈ ਜੋ ਮੁੱਖ ਤੌਰ 'ਤੇ:

• ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਇੱਕ ਹੋਸਟ ਫਿੰਗਰਪ੍ਰਿੰਟ ਭੇਜਦਾ ਹੈ, ਫਿਰ
• mbedTLS v2.8.0 ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲਾਗੂ ਕੀਤੇ ਗਏ ਬਿਲਟ-ਇਨ TLS ਸਰਵਰ ਉੱਤੇ ਕਮਾਂਡਾਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ।

ਇਮਪਲਾਂਟ ਦਾ ਡਿਫਾਲਟ ਵਿਵਹਾਰ ਇੱਕ ਕਸਟਮ ਬਾਈਨਰੀ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ TLS ਸਰਵਰ ਵਜੋਂ ਕੰਮ ਕਰਨਾ ਹੈ। ਇੱਕ ਮੁੱਖ ਪ੍ਰੋਟੋਕੋਲ ਖੇਤਰ HasCommand ਹੈ: ਜਦੋਂ ਇਹ ਖੇਤਰ ASCII ਅੱਖਰ 1 ਦੇ ਬਰਾਬਰ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਇਮਪਲਾਂਟ ਕਮਾਂਡ ਖੇਤਰ ਨੂੰ ਪੜ੍ਹਦਾ ਹੈ, ਨਿਰਧਾਰਤ ਕਮਾਂਡ ਨੂੰ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਚਲਾਉਂਦਾ ਹੈ, ਅਤੇ ਕੱਚਾ ਕਮਾਂਡ ਆਉਟਪੁੱਟ C2 ਨੂੰ ਵਾਪਸ ਕਰਦਾ ਹੈ।

ਕਾਰਜ ਦੇ ਢੰਗ

ਪੋਲਰਐਜ ਦੋ ਵਾਧੂ ਮੋਡਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ:

ਕਨੈਕਟ-ਬੈਕ ਮੋਡ : ਇਮਪਲਾਂਟ ਰਿਮੋਟ ਸਰਵਰਾਂ ਤੋਂ ਫਾਈਲਾਂ ਖਿੱਚਣ ਲਈ ਇੱਕ TLS ਕਲਾਇੰਟ ਵਾਂਗ ਵਿਵਹਾਰ ਕਰਦਾ ਹੈ।

ਡੀਬੱਗ ਮੋਡ : ਇੱਕ ਇੰਟਰਐਕਟਿਵ ਮੋਡ ਜੋ ਓਪਰੇਟਰਾਂ ਨੂੰ ਫਲਾਈ 'ਤੇ ਕੌਂਫਿਗਰੇਸ਼ਨ ਪੈਰਾਮੀਟਰ (ਉਦਾਹਰਨ ਲਈ, ਸਰਵਰ ਐਡਰੈੱਸ) ਬਦਲਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

ਏਮਬੈਡਡ ਕੌਂਫਿਗਰੇਸ਼ਨ ਅਤੇ ਅਡੰਬਰ

ਬੋਟਨੈੱਟ ਆਪਣੀ ਰਨਟਾਈਮ ਸੰਰਚਨਾ ਨੂੰ ELF ਚਿੱਤਰ ਦੇ ਅੰਤਿਮ 512 ਬਾਈਟਾਂ ਦੇ ਅੰਦਰ ਸਟੋਰ ਕਰਦਾ ਹੈ। ਉਹ ਬਲਾਕ ਇੱਕ ਸਿੰਗਲ-ਬਾਈਟ XOR ਨਾਲ ਗੁੰਝਲਦਾਰ ਹੈ; ਖੋਜਕਰਤਾਵਾਂ ਦੀ ਰਿਪੋਰਟ ਹੈ ਕਿ XOR ਕੁੰਜੀ 0x11 ਹੈ, ਜਿਸਨੂੰ ਸੰਰਚਨਾ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਲਾਗੂ ਕਰਨਾ ਲਾਜ਼ਮੀ ਹੈ।

ਫਾਈਲ ਓਪਰੇਸ਼ਨ

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਇਮਪਲਾਂਟ ਫਾਈਲ ਸਿਸਟਮ ਮੂਵ ਅਤੇ ਰਿਮੂਵਲ ਕਰਦਾ ਹੈ (ਉਦਾਹਰਨਾਂ ਵਿੱਚ /usr/bin/wget ਅਤੇ /sbin/curl ਵਰਗੀਆਂ ਬਾਈਨਰੀਆਂ ਨੂੰ ਮੂਵ ਕਰਨਾ, ਅਤੇ /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak ਵਰਗੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਮਿਟਾਉਣਾ ਸ਼ਾਮਲ ਹੈ)। ਇਹਨਾਂ ਕਾਰਵਾਈਆਂ ਦੇ ਪਿੱਛੇ ਸਹੀ ਸੰਚਾਲਨ ਉਦੇਸ਼ ਉਪਲਬਧ ਡੇਟਾ ਤੋਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸਮਝਿਆ ਨਹੀਂ ਗਿਆ ਹੈ।

ਚੋਰੀ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿਰੋਧੀ ਤਕਨੀਕਾਂ

ਪੋਲਰਐਜ ਵਿੱਚ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਸੂਝਵਾਨ ਰੱਖਿਆਤਮਕ ਵਿਧੀਆਂ ਸ਼ਾਮਲ ਹਨ ਜੋ ਖੋਜ ਤੋਂ ਬਚਣ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਅਤੇ ਸਵੈਚਾਲਿਤ ਸਾਧਨਾਂ ਲਈ ਇਸਦੇ ਵਿਵਹਾਰ ਦੀ ਪਛਾਣ ਕਰਨਾ ਅਤੇ ਇਸਦੇ ਅੰਦਰੂਨੀ ਕਾਰਜਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨਾ ਵਧੇਰੇ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ।

ਇਹ ਆਪਣੇ TLS ਸਰਵਰ ਸ਼ੁਰੂਆਤੀਕਰਨ ਅਤੇ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ ਰੁਟੀਨਾਂ ਦੇ ਵੇਰਵਿਆਂ ਨੂੰ ਔਫਫਸਕੇਸ਼ਨ ਰਾਹੀਂ ਲੁਕਾਉਂਦਾ ਹੈ।

ਸਟਾਰਟਅੱਪ ਦੌਰਾਨ, ਇਹ ਪ੍ਰਕਿਰਿਆ ਮਾਸਕਰੇਡਿੰਗ ਕਰਦਾ ਹੈ, ਇੱਕ ਬਿਲਟ-ਇਨ ਸੂਚੀ ਵਿੱਚੋਂ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਨਾਮ ਨੂੰ ਬੇਤਰਤੀਬ ਢੰਗ ਨਾਲ ਚੁਣ ਕੇ ਜਾਇਜ਼ ਸਿਸਟਮ ਸੇਵਾਵਾਂ ਨਾਲ ਮਿਲਾਉਂਦਾ ਹੈ।

ਕੁਝ ਸੰਭਾਵੀ ਨਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• igmpproxy
• ਡਬਲਯੂਐਸਸੀਡੀ
• /sbin/dhcpd
• httpdLanguage
• ਯੂਪੀਐਨਪੀਡੀ
• ਆਈਐੱਪ

ਕਲਾਸਿਕ ਦ੍ਰਿੜਤਾ ਤੋਂ ਬਿਨਾਂ ਲਚਕੀਲਾਪਣ

PolarEdge ਇੱਕ ਰਵਾਇਤੀ ਸਥਿਰਤਾ ਵਿਧੀ ਸਥਾਪਤ ਨਹੀਂ ਕਰਦਾ ਜਾਪਦਾ ਜੋ ਰੀਬੂਟ ਤੋਂ ਬਚਦੀ ਹੈ। ਇਸਦੀ ਬਜਾਏ, ਇਹ ਇੱਕ ਰਨਟਾਈਮ ਟ੍ਰਿਕ ਕਰਦਾ ਹੈ: ਇਹ ਹਰ 30 ਸਕਿੰਟਾਂ ਵਿੱਚ ਫੋਰਕ ਕਰਦਾ ਹੈ ਅਤੇ ਚਾਈਲਡ ਪ੍ਰੋਸੈਸ ਪੋਲ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਜਾਂਚਿਆ ਜਾ ਸਕੇ ਕਿ ਕੀ ਮਾਪਿਆਂ ਦੀ/proc/ ਡਾਇਰੈਕਟਰੀ ਅਜੇ ਵੀ ਮੌਜੂਦ ਹੈ। ਜੇਕਰ ਉਹ ਡਾਇਰੈਕਟਰੀ ਗਾਇਬ ਹੋ ਜਾਂਦੀ ਹੈ (ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਪੇਰੈਂਟ ਪ੍ਰਕਿਰਿਆ ਖਤਮ ਹੋ ਗਈ ਹੈ), ਤਾਂ ਚਾਈਲਡ ਬੈਕਡੋਰ ਨੂੰ ਦੁਬਾਰਾ ਲਾਂਚ ਕਰਨ ਲਈ ਇੱਕ ਸ਼ੈੱਲ ਕਮਾਂਡ ਚਲਾਉਂਦਾ ਹੈ, ਜੋ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਸਥਾਈ ਬੂਟ-ਟਾਈਮ ਸਥਿਰਤਾ ਦੀ ਬਜਾਏ ਮੌਕਾਪ੍ਰਸਤ ਰਨਟਾਈਮ ਰਿਕਵਰੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਰੱਖਿਆਤਮਕ ਟੇਕਅਵੇਜ਼

ਰਾਊਟਰਾਂ ਅਤੇ NAS ਡਿਵਾਈਸਾਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਉਹ CVE-2023-20118 ਅਤੇ ਇਸ ਤਰ੍ਹਾਂ ਦੀਆਂ ਰਿਮੋਟ-ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਵਿਕਰੇਤਾ ਅੱਪਡੇਟ ਅਤੇ ਘਟਾਓ ਲਾਗੂ ਕਰਦੇ ਹਨ। ਉਹਨਾਂ ਨੂੰ ਨੈੱਟਵਰਕ ਉਪਕਰਣਾਂ ਅਤੇ ਅਣਕਿਆਸੇ ਹੋਸਟਾਂ ਨਾਲ ਆਊਟਬਾਉਂਡ ਕਨੈਕਸ਼ਨਾਂ ਤੋਂ ਅਸਾਧਾਰਨ TLS ਗਤੀਵਿਧੀ ਲਈ ਸਰਗਰਮੀ ਨਾਲ ਨਿਗਰਾਨੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ। ਪ੍ਰਕਿਰਿਆ ਮਾਸਕਰੇਡਿੰਗ ਦੇ ਸੰਕੇਤਾਂ ਅਤੇ ਨੈੱਟਵਰਕਿੰਗ ਬਾਈਨਰੀ ਅਤੇ ਵੈੱਬ-ਫੇਸਿੰਗ ਸਕ੍ਰਿਪਟਾਂ ਦੇ ਕਿਸੇ ਵੀ ਅਣਅਧਿਕਾਰਤ ਬਦਲਾਅ ਜਾਂ ਮਿਟਾਉਣ ਲਈ ਦੇਖਣਾ ਵੀ ਉਨਾ ਹੀ ਮਹੱਤਵਪੂਰਨ ਹੈ।