PumaBot Botnet

ਇੱਕ ਨਵਾਂ ਖੋਜਿਆ ਗਿਆ Linux ਬੋਟਨੈੱਟ, ਜਿਸਨੂੰ PumaBot ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਏਮਬੈਡਡ IoT ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਤਬਾਹੀ ਮਚਾ ਰਿਹਾ ਹੈ। Go ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ, ਇਹ ਮਾਲਵੇਅਰ SSH ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਤੋੜਨ ਲਈ ਬਰੂਟ-ਫੋਰਸ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਇੱਕ ਵਾਰ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਹੋਣ ਤੋਂ ਬਾਅਦ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਰਵਾਇਤੀ ਬੋਟਨੈੱਟਾਂ ਦੇ ਉਲਟ ਜੋ ਇੰਟਰਨੈਟ ਨੂੰ ਅੰਨ੍ਹੇਵਾਹ ਸਕੈਨ ਕਰਦੇ ਹਨ, PumaBot ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਸਿੱਧੇ ਪ੍ਰਾਪਤ ਕੀਤੇ ਗਏ ਖਾਸ IP ਪਤਿਆਂ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ।

ਸ਼ੁੱਧਤਾ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ: IoT ਸ਼ੋਸ਼ਣ ਵਿੱਚ ਇੱਕ ਰਣਨੀਤਕ ਤਬਦੀਲੀ

PumaBot ਆਪਣੇ C2 ਸਰਵਰ (ssh.ddos-cc.org) ਤੋਂ ਕਿਉਰੇਟਿਡ IP ਟਾਰਗੇਟ ਸੂਚੀਆਂ ਨੂੰ ਖਿੱਚ ਕੇ ਆਪਣੇ ਆਪ ਨੂੰ ਵੱਖਰਾ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਬਹੁਤ ਜ਼ਿਆਦਾ ਕੇਂਦ੍ਰਿਤ ਹਮਲੇ ਕਰ ਸਕਦਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਵਿਆਪਕ ਇੰਟਰਨੈਟ ਸਕੈਨ ਤੋਂ ਬਚਦੀ ਹੈ ਅਤੇ ਖਾਸ ਸੰਗਠਨਾਂ ਜਾਂ ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਇਰਾਦੇ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ। ਇਹ 'Pumatronix' ਸਤਰ ਲਈ ਡਿਵਾਈਸਾਂ ਦੀ ਵੀ ਜਾਂਚ ਕਰਦਾ ਹੈ - ਇੱਕ ਸੁਰਾਗ ਜੋ ਇਸ ਵਿਕਰੇਤਾ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਗਏ ਨਿਗਰਾਨੀ ਅਤੇ ਟ੍ਰੈਫਿਕ ਕੈਮਰਾ ਸਿਸਟਮਾਂ ਦੇ ਨਿਸ਼ਾਨਾ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰ ਸਕਦਾ ਹੈ।

ਰੀਕਨ ਤੋਂ ਰੂਟ ਤੱਕ: ਪੁਮਾਬੋਟ ਦਾ ਅਟੈਕ ਲਾਈਫਸਾਈਕਲ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਕੋਈ ਡਿਵਾਈਸ ਚੁਣ ਲਈ ਜਾਂਦੀ ਹੈ, ਤਾਂ PumaBot ਪੋਰਟ 22 'ਤੇ ਬਰੂਟ-ਫੋਰਸ SSH ਲੌਗਇਨ ਕੋਸ਼ਿਸ਼ਾਂ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਸਫਲ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਇਹ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ 'uname -a' ਚਲਾਉਂਦਾ ਹੈ ਕਿ ਡਿਵਾਈਸ ਹਨੀਪੋਟ ਨਹੀਂ ਹੈ। ਇਸ ਪੁਸ਼ਟੀਕਰਨ ਤੋਂ ਬਾਅਦ, ਬੋਟਨੈੱਟ:

• ਆਪਣੀ ਮੁੱਖ ਬਾਈਨਰੀ (jierui) ਨੂੰ /lib/redis ਵਿੱਚ ਲਿਖਦਾ ਹੈ।
• ਇੱਕ ਸਥਾਈ systemd ਸੇਵਾ (redis.service) ਸਥਾਪਤ ਕਰਦਾ ਹੈ
• ਸਿਸਟਮ ਸਫਾਈ ਤੋਂ ਬਾਅਦ ਵੀ, ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਲਈ ਆਪਣੀ ਖੁਦ ਦੀ SSH ਕੁੰਜੀ ਨੂੰ authorized_keys ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਤੋਂ ਪਰੇ: ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਅਤੇ ਡੇਟਾ ਚੋਰੀ

ਪਹੁੰਚ ਸੁਰੱਖਿਅਤ ਹੋਣ ਦੇ ਨਾਲ, PumaBot ਹੋਰ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਨਵੇਂ ਪੇਲੋਡ ਤਾਇਨਾਤ ਕਰਨਾ
• ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ
• ਨੈੱਟਵਰਕਾਂ ਦੇ ਅੰਦਰ ਪਾਸੇ ਦੀ ਗਤੀ ਨੂੰ ਸੁਵਿਧਾਜਨਕ ਬਣਾਉਣਾ
• ਖੋਜੇ ਗਏ ਪੇਲੋਡਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
• ਸਵੈ-ਅੱਪਡੇਟ ਕਰਨ ਵਾਲੀਆਂ ਸਕ੍ਰਿਪਟਾਂ
• PAM ਰੂਟਕਿੱਟ ਜੋ pam_unix.so ਦੀ ਥਾਂ ਲੈਂਦੇ ਹਨ
• ਇੱਕ ਡੈਮਨ ਬਾਈਨਰੀ (1 ਨਾਮ ਦਿੱਤਾ ਗਿਆ) ਇੱਕ ਫਾਈਲ ਵਾਚਰ ਵਜੋਂ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ

ਖਤਰਨਾਕ PAM ਮੋਡੀਊਲ SSH ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਲੌਗ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ con.txt ਵਿੱਚ ਸਟੋਰ ਕਰਦਾ ਹੈ। ਇਸ ਫਾਈਲ ਲਈ 1 ਬਾਈਨਰੀ ਮਾਨੀਟਰ ਅਤੇ, ਇੱਕ ਵਾਰ ਮਿਲ ਜਾਣ 'ਤੇ, ਇਸਨੂੰ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਤੋਂ ਮਿਟਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਇਸਨੂੰ C2 ਸਰਵਰ ਵਿੱਚ ਐਕਸਫਿਲਟ ਕਰਦਾ ਹੈ - ਇਸਦੇ ਟਰੈਕਾਂ ਨੂੰ ਕਵਰ ਕਰਨ ਲਈ ਇੱਕ ਗਣਨਾ ਕੀਤੀ ਚਾਲ।

ਅਣਜਾਣ ਸਕੋਪ, ਉੱਚ ਦਾਅ: ਪੁਮਾਬੋਟ ਦਾ ਚੁੱਪ ਵਿਸਥਾਰ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਅਜੇ ਤੱਕ PumaBot ਦੀ ਮੁਹਿੰਮ ਦੇ ਪੈਮਾਨੇ ਜਾਂ ਸਫਲਤਾ ਦਰ ਨੂੰ ਨਿਰਧਾਰਤ ਨਹੀਂ ਕੀਤਾ ਹੈ। ਟਾਰਗੇਟ IP ਸੂਚੀਆਂ ਦੀ ਹੱਦ ਅਜੇ ਵੀ ਅਸਪਸ਼ਟ ਹੈ। ਹਾਲਾਂਕਿ, ਬੋਟਨੈੱਟ ਦਾ ਧਿਆਨ DDoS ਹਮਲਿਆਂ ਵਰਗੀਆਂ ਘੱਟ-ਗ੍ਰੇਡ ਗਤੀਵਿਧੀਆਂ ਦੀ ਬਜਾਏ, ਡੂੰਘੇ ਨੈੱਟਵਰਕ ਘੁਸਪੈਠ 'ਤੇ ਹੈ, ਇਹ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਇਹ ਕਾਰਪੋਰੇਟ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਹੈ।

ਅੱਗੇ ਰਹੋ: ਪਿਊਮਾਬੋਟ ਅਤੇ ਇਸਦੀ ਕਿਸਮ ਤੋਂ ਬਚਾਅ ਕਰਨਾ

PumaBot ਜਾਂ ਇਸ ਤਰ੍ਹਾਂ ਦੀਆਂ ਧਮਕੀਆਂ ਦੁਆਰਾ ਸਮਝੌਤਾ ਹੋਣ ਦੇ ਜੋਖਮ ਨੂੰ ਘਟਾਉਣ ਲਈ:

• ਸਾਰੇ IoT ਡਿਵਾਈਸਾਂ 'ਤੇ ਫਰਮਵੇਅਰ ਅੱਪਡੇਟ ਕਰੋ
• ਡਿਫਾਲਟ ਕ੍ਰੀਡੈਂਸ਼ੀਅਲ ਬਦਲੋ
• ਫਾਇਰਵਾਲਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰੋ ਅਤੇ SSH ਪਹੁੰਚ ਨੂੰ ਸੀਮਤ ਕਰੋ
• ਸੈਗਮੈਂਟਡ ਨੈੱਟਵਰਕਾਂ 'ਤੇ IoT ਡਿਵਾਈਸਾਂ ਨੂੰ ਅਲੱਗ ਕਰੋ

ਬੋਟਨੈੱਟ ਐਕਟਰਾਂ ਨੂੰ ਦੂਰ ਰੱਖਣ ਅਤੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਡੂੰਘੀਆਂ ਉਲੰਘਣਾਵਾਂ ਤੋਂ ਬਚਾਉਣ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਸੁਰੱਖਿਆ ਅਭਿਆਸ ਜ਼ਰੂਰੀ ਹਨ।