Oferta rabatowa na wiele licencji
Baza danych zagrożeń Botnety Botnet PolarEdge

Botnet PolarEdge

Do Mezo w Botnety
Przetłumacz na:

Badacze bezpieczeństwa niedawno odkryli mechanizmy działania rodziny botnetów skoncentrowanych na routerach, o nazwie PolarEdge. Połączenie komunikacji opartej na protokole TLS, wbudowanych sztuczek konfiguracyjnych i celowych środków anty-analizy czyni je poważnym zagrożeniem dla domowych i małych i średnich firm urządzeń sieciowych.

Oś czasu i odkrycie

Badacze po raz pierwszy udokumentowali PolarEdge w lutym 2025 roku, łącząc go z kampaniami wymierzonymi w routery i urządzenia NAS wielu dostawców. Do sierpnia 2025 roku analitycy zmapowali znaczną część infrastruktury botnetu i zaobserwowali cechy charakterystyczne dla sieci typu ORB (Operational Relay Box). Retrospektywne dane telemetryczne sugerują, że część aktywności PolarEdge może sięgać nawet czerwca 2023 roku.

Cele i początkowy dostęp

Urządzenia głównych dostawców, w tym Cisco, ASUS, QNAP i Synology, zostały zidentyfikowane jako cele, co pokazuje, że zarówno routery klasy korporacyjnej, jak i konsumenckiej oraz systemy NAS są narażone na wykorzystanie tych urządzeń.

W łańcuchach ataków z lutego 2025 r. atakujący wykorzystali znaną lukę w zabezpieczeniach Cisco (CVE-2023-20118) do pobrania małego skryptu powłoki o nazwie „q” dostarczanego przez FTP. Rolą skryptu było pobranie i uruchomienie tylnego wejścia PolarEdge ELF na zainfekowanym hoście.

Projekt implantu rdzeniowego

PolarEdge to implant ELF obsługujący protokół TLS, który przede wszystkim:

  • Wysyła odcisk palca hosta do serwera poleceń i kontroli (C2), a następnie
  • Oczekuje na polecenia poprzez wbudowany serwer TLS zaimplementowany przy użyciu mbedTLS v2.8.0.

Domyślnym zachowaniem implantu jest działanie jako serwer TLS z wykorzystaniem niestandardowego protokołu binarnego. Jednym z kluczowych pól protokołu jest HasCommand: gdy to pole jest równe znakowi ASCII 1, implant odczytuje pole Command, wykonuje określone polecenie lokalnie i zwraca surowy wynik polecenia do C2.

Tryby działania

PolarEdge obsługuje dwa dodatkowe tryby:

Tryb połączenia zwrotnego : implant zachowuje się jak klient TLS, pobierając pliki ze zdalnych serwerów.

Tryb debugowania : tryb interaktywny umożliwiający operatorom zmianę parametrów konfiguracji (na przykład adresów serwerów) na bieżąco.

Wbudowana konfiguracja i zaciemnianie

Botnet przechowuje swoją konfigurację środowiska wykonawczego w ostatnich 512 bajtach obrazu ELF. Ten blok jest zaciemniony jednobajtowym algorytmem XOR; badacze podają, że klucz XOR to 0x11, który musi zostać użyty, aby odzyskać konfigurację.

Operacje na plikach

Po uruchomieniu implant wykonuje operacje przenoszenia i usuwania plików w systemie (przykładami są przenoszenie plików binarnych, takich jak /usr/bin/wget i /sbin/curl, oraz usuwanie plików, takich jak /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Dokładny cel operacyjny tych działań nie jest w pełni zrozumiały na podstawie dostępnych danych.

Techniki unikania i antyanalizy

PolarEdge wykorzystuje szereg zaawansowanych mechanizmów obronnych, zaprojektowanych w celu uniknięcia wykrycia i utrudnienia analizy. Utrudniają one badaczom ds. bezpieczeństwa i zautomatyzowanym narzędziom identyfikację jego zachowania i analizę jego wewnętrznego działania.

Ukrywa szczegóły inicjalizacji serwera TLS i procedur odcisku palca za pomocą zaciemniania.

Podczas uruchamiania przeprowadza maskowanie procesów, losowo wybierając nazwę procesu z wbudowanej listy, aby wtopić się w tłum legalnych usług systemowych.

Możliwe nazwy to m.in.:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Odporność bez klasycznej wytrwałości

PolarEdge najwyraźniej nie instaluje tradycyjnego mechanizmu trwałości, który przetrwałby restarty. Zamiast tego wykonuje sztuczkę w czasie wykonywania: rozwidla się, a proces potomny co 30 sekund sprawdza, czy katalog /proc/ procesu nadrzędnego nadal istnieje. Jeśli ten katalog zniknie (co oznacza, że proces nadrzędny zniknął), proces potomny uruchamia polecenie powłoki, aby ponownie uruchomić backdoora, zapewniając w ten sposób doraźne odzyskiwanie danych w czasie wykonywania zamiast trwałego utrwalania danych w czasie rozruchu.

Defensywne przejęcia

Organizacje zarządzające routerami i urządzeniami NAS powinny upewnić się, że stosują aktualizacje dostawców i środki zaradcze w celu wyeliminowania luk CVE-2023-20118 i podobnych luk umożliwiających zdalne wykonywanie. Powinny aktywnie monitorować nietypową aktywność TLS ze strony urządzeń sieciowych oraz połączenia wychodzące z nieoczekiwanymi hostami. Równie ważne jest zwracanie uwagi na oznaki podszywania się pod procesy oraz wszelkie nieautoryzowane zmiany lub usunięcia plików binarnych sieci i skryptów internetowych.

 

Popularne

American Express – próba logowania została...

Phishing, Spam
Cyberprzestępcy często wykorzystują znajomość zaufanych marek, aby nakłonić niczego niepodejrzewających użytkowników do ujawnienia poufnych informacji. Oszustwo „American Express – próba logowania została zablokowana” jest doskonałym przykładem tej taktyki. Te e-maile podszywają się pod alerty bezpieczeństwa American Express, twierdząc, że podejrzana próba logowania została zablokowana i...

Najczęściej oglądane

Ładowanie...