Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Botnet-ul PolarEdge

Botnet-ul PolarEdge

Până în Mezo în Rețele bot
Tradu in:

Cercetătorii în domeniul securității au dezvăluit recent mecanismele unei familii de botnet-uri axate pe routere, numită PolarEdge. Combinația sa de comunicare bazată pe TLS, trucuri de configurare încorporate și măsuri deliberate anti-analiză o transformă într-o amenințare notabilă pentru dispozitivele de rețea casnice și pentru IMM-uri.

Cronologie și descoperire

Cercetătorii au documentat pentru prima dată PolarEdge în februarie 2025, asociindu-l cu campanii care vizau routere și dispozitive NAS de la mai mulți furnizori. Până în august 2025, analiștii cartografiaseră o mare parte din infrastructura botnet-ului și observaseră trăsături compatibile cu o rețea de tip Operational Relay Box (ORB). Telemetria retrospectivă sugerează că o parte din activitatea PolarEdge ar putea datează încă din iunie 2023.

Ținte și acces inițial

Dispozitivele de la furnizori importanți, inclusiv Cisco, ASUS, QNAP și Synology, au fost identificate ca ținte, subliniind faptul că atât routerele și sistemele NAS de nivel enterprise, cât și cele de nivel consumer sunt expuse riscului de exploatare.

În lanțurile de atacuri din februarie 2025, hackerii au exploatat o vulnerabilitate Cisco cunoscută (CVE-2023-20118) pentru a prelua un mic script shell livrat prin FTP, numit „q”. Rolul acelui script era de a recupera și lansa backdoor-ul PolarEdge ELF pe gazda compromisă.

Designul implantului central

PolarEdge este un implant ELF compatibil TLS care în principal:

  • Trimite o amprentă a gazdei către un server de comandă și control (C2), apoi
  • Așteaptă comenzi printr-un server TLS încorporat implementat folosind mbedTLS v2.8.0.

Comportamentul implicit al implantului este să acționeze ca un server TLS utilizând un protocol binar personalizat. Un câmp cheie al protocolului este HasCommand: când acest câmp este egal cu caracterul ASCII 1, implantul citește câmpul Command, execută comanda specificată local și returnează ieșirea brută a comenzii către C2.

Moduri de funcționare

PolarEdge acceptă două moduri suplimentare:

Mod de conectare inversă : implantul se comportă ca un client TLS pentru a extrage fișiere de pe servere la distanță.

Mod de depanare : un mod interactiv care permite operatorilor să modifice parametrii de configurare (de exemplu, adresele serverului) din mers.

Configurare și ofuscare încorporate

Botnetul își stochează configurația de execuție în ultimii 512 octeți ai imaginii ELF. Blocul respectiv este ofuscat cu un XOR pe un singur octet; cercetătorii raportează că cheia XOR este 0x11, care trebuie aplicată pentru a recupera configurația.

Operațiuni cu fișiere

După execuție, implantul efectuează mutări și eliminări ale sistemului de fișiere (exemplele includ mutarea fișierelor binare precum /usr/bin/wget și /sbin/curl și ștergerea fișierelor precum /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Intenția operațională precisă din spatele acestor acțiuni nu este pe deplin înțeleasă din datele disponibile.

Tehnici de evaziune și anti-analiză

PolarEdge încorporează o gamă de mecanisme defensive sofisticate, concepute pentru a evita detectarea și a împiedica analiza, ceea ce face mai dificilă identificarea comportamentului și analizarea mecanismelor interne de către cercetătorii în domeniul securității și instrumentele automate.

Ascunde detalii despre inițializarea serverului TLS și rutinele de amprentare prin ofuscare.

În timpul pornirii, efectuează mascarea proceselor, alegând aleatoriu un nume de proces dintr-o listă încorporată pentru a se integra cu serviciile de sistem legitime.

Unele dintre posibilele nume includ:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • aplicație

Reziliență fără persistență clasică

PolarEdge nu pare să instaleze un mecanism tradițional de persistență care să supraviețuiască repornirilor. În schimb, execută un truc la execuție: creează o bifurcație, iar procesul copil efectuează un sondaj la fiecare 30 de secunde pentru a verifica dacă directorul /proc/ al părintelui încă există. Dacă directorul respectiv dispare (indicând faptul că procesul părinte a dispărut), procesul copil rulează o comandă shell pentru a relansa backdoor-ul, oferind în mod eficient o recuperare oportunistă la execuție, mai degrabă decât o persistență permanentă la bootare.

Concluzii defensive

Organizațiile care gestionează routere și dispozitive NAS ar trebui să se asigure că aplică actualizări și măsuri de atenuare de la furnizori pentru CVE-2023-20118 și vulnerabilități similare de execuție la distanță. Acestea ar trebui să monitorizeze activ activitatea TLS neobișnuită de la dispozitivele de rețea și conexiunile de ieșire către gazde neașteptate. Este la fel de important să fie urmărite semnele de mascarare a proceselor și orice modificări sau ștergeri neautorizate ale fișierelor binare de rețea și ale scripturilor web.

 

Trending

American Express - Înșelătorie privind blocarea...

phishing, Spam
Infractorii cibernetici exploatează adesea familiaritatea mărcilor de încredere pentru a atrage utilizatori neatenți să dezvăluie informații sensibile. Escrocheria „American Express - Tentativa de conectare a fost blocată” este un exemplu excelent al acestei tactici. Aceste e-mailuri se dau drept alerte de securitate de la American Express, susținând că o încercare suspectă de conectare a fost...

Cele mai văzute

Se încarcă...