Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet PolarEdge

Botnet PolarEdge

Por Mezo em Redes de Bots
Traduzir Para:

Pesquisadores de segurança recentemente desvendaram a mecânica de uma família de botnets focada em roteadores, chamada PolarEdge. Sua combinação de comunicação baseada em TLS, truques de configuração incorporados e medidas antianálise deliberadas a tornam uma ameaça notável para dispositivos de rede domésticos e de pequenas e médias empresas.

Linha do tempo e descoberta

Pesquisadores documentaram o PolarEdge pela primeira vez em fevereiro de 2025, associando-o a campanhas que visavam roteadores e dispositivos NAS de diversos fornecedores. Em agosto de 2025, os analistas mapearam grande parte da infraestrutura da botnet e observaram características consistentes com uma rede do tipo Caixa de Retransmissão Operacional (ORB). A telemetria retrospectiva sugere que algumas atividades do PolarEdge podem remontar a junho de 2023.

Metas e acesso inicial

Dispositivos de grandes fornecedores, incluindo Cisco, ASUS, QNAP e Synology, foram identificados como alvos, destacando que roteadores e sistemas NAS de nível empresarial e de consumidor correm risco de exploração.

Nas cadeias de ataque de fevereiro de 2025, os agentes de ameaças exploraram uma vulnerabilidade conhecida da Cisco (CVE-2023-20118) para obter um pequeno script de shell enviado por FTP chamado "q". A função desse script era recuperar e iniciar o backdoor PolarEdge ELF no host comprometido.

Projeto de implante central

PolarEdge é um implante ELF com capacidade TLS que principalmente:

  • Envia uma impressão digital do host para um servidor de comando e controle (C2) e, em seguida,
  • Aguarda comandos em um servidor TLS integrado implementado usando mbedTLS v2.8.0.

O comportamento padrão do implante é atuar como um servidor TLS usando um protocolo binário personalizado. Um campo-chave do protocolo é HasCommand: quando este campo é igual ao caractere ASCII 1, o implante lê o campo Command, executa o comando especificado localmente e retorna a saída bruta do comando para o C2.

Modos de operação

O PolarEdge suporta dois modos adicionais:

Modo de conexão posterior : o implante se comporta como um cliente TLS para extrair arquivos de servidores remotos.

Modo de depuração : um modo interativo que permite aos operadores alterar parâmetros de configuração (por exemplo, endereços de servidor) em tempo real.

Configuração e ofuscação incorporadas

A botnet armazena sua configuração de tempo de execução nos 512 bytes finais da imagem ELF. Esse bloco é ofuscado com um XOR de byte único; os pesquisadores relatam que a chave XOR é 0x11, que deve ser aplicada para recuperar a configuração.

Operações de arquivo

Após a execução, o implante realiza movimentações e remoções do sistema de arquivos (exemplos incluem mover binários como /usr/bin/wget e /sbin/curl, e excluir arquivos como /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). A intenção operacional precisa por trás dessas ações não é totalmente compreendida a partir dos dados disponíveis.

Técnicas de Evasão e Antianálise

O PolarEdge incorpora uma série de mecanismos de defesa sofisticados projetados para evitar a detecção e impedir a análise, tornando mais difícil para pesquisadores de segurança e ferramentas automatizadas identificar seu comportamento e dissecar seu funcionamento interno.

Ele oculta detalhes da inicialização do servidor TLS e rotinas de impressão digital por meio de ofuscação.

Durante a inicialização, ele executa o mascaramento de processos, escolhendo aleatoriamente um nome de processo de uma lista interna para misturá-lo com serviços legítimos do sistema.

Alguns dos nomes possíveis incluem:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Resiliência sem Persistência Clássica

O PolarEdge não parece instalar um mecanismo de persistência tradicional que sobreviva a reinicializações. Em vez disso, ele executa um truque de tempo de execução: ele bifurca e o processo filho verifica a cada 30 segundos se o diretório /proc/ do processo pai ainda existe. Se esse diretório desaparecer (indicando que o processo pai desapareceu), o processo filho executa um comando shell para reiniciar o backdoor, proporcionando efetivamente uma recuperação oportunista em tempo de execução em vez de persistência permanente em tempo de inicialização.

Takeaways defensivos

Organizações que gerenciam roteadores e dispositivos NAS devem garantir a aplicação de atualizações e mitigações de fornecedores para vulnerabilidades de execução remota CVE-2023-20118 e similares. Devem monitorar ativamente atividades TLS incomuns em dispositivos de rede e conexões de saída para hosts inesperados. É igualmente fundamental observar sinais de mascaramento de processos e quaisquer alterações ou exclusões não autorizadas de binários de rede e scripts web.

 

Tendendo

Mais visto

Carregando...