Multilicenčná zľavová ponuka
Databáza hrozieb Botnety Botnet PolarEdge

Botnet PolarEdge

Do roku Mezo v roku Botnety
Preložiť do:

Bezpečnostní výskumníci nedávno odhalili mechanizmy rodiny botnetov zameraných na routery s názvom PolarEdge. Kombinácia komunikácie založenej na TLS, vstavaných konfiguračných trikov a zámerných antianalytických opatrení z nej robí významnú hrozbu pre domáce a malé a stredné podniky.

Časová os a objav

Výskumníci prvýkrát zdokumentovali PolarEdge vo februári 2025 a prepojili ho s kampaňami zameranými na smerovače a zariadenia NAS od viacerých dodávateľov. Do augusta 2025 analytici zmapovali veľkú časť infraštruktúry botnetu a pozorovali znaky zodpovedajúce sieti typu Operational Relay Box (ORB). Retrospektívna telemetria naznačuje, že niektoré aktivity PolarEdge môžu siahať až do júna 2023.

Ciele a počiatočný prístup

Ako ciele boli identifikované zariadenia od významných dodávateľov vrátane spoločností Cisco, ASUS, QNAP a Synology, čo zdôrazňuje, že riziku zneužitia sú vystavené routery a systémy NAS podnikovej aj spotrebiteľskej triedy.

V rámci útokov z februára 2025 útočníci zneužili známu zraniteľnosť spoločnosti Cisco (CVE-2023-20118) na získanie malého skriptu s názvom „q“ doručeného cez FTP. Úlohou tohto skriptu bolo získať a spustiť zadné vrátka PolarEdge ELF na napadnutom hostiteľovi.

Návrh jadra implantátu

PolarEdge je implantát ELF s podporou TLS, ktorý predovšetkým:

  • Odošle odtlačok hostiteľa na server príkazového riadiaceho systému (C2) a potom
  • Čaká na príkazy cez vstavaný TLS server implementovaný pomocou mbedTLS v2.8.0.

Predvolené správanie implantátu je fungovať ako TLS server pomocou vlastného binárneho protokolu. Jedným z kľúčových poľov protokolu je HasCommand: keď sa toto pole rovná znaku ASCII 1, implantát prečíta pole Command, vykoná zadaný príkaz lokálne a vráti nespracovaný výstup príkazu do C2.

Režimy prevádzky

PolarEdge podporuje dva ďalšie režimy:

Režim spätného pripojenia : implantát sa správa ako klient TLS a načítava súbory zo vzdialených serverov.

Režim ladenia : interaktívny režim, ktorý umožňuje operátorom meniť konfiguračné parametre (napríklad adresy serverov) za chodu.

Vstavaná konfigurácia a zmätok

Botnet ukladá svoju konfiguráciu za behu v posledných 512 bajtoch obrazu ELF. Tento blok je zahalený jednobajtovým XOR; výskumníci uvádzajú, že kľúč XOR je 0x11, ktorý je potrebné použiť na obnovenie konfigurácie.

Operácie so súbormi

Po vykonaní implantát vykonáva presuny a odstránenia súborového systému (príklady zahŕňajú presun binárnych súborov, ako napríklad /usr/bin/wget a /sbin/curl, a mazanie súborov, ako napríklad /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Presný operačný zámer týchto akcií nie je z dostupných údajov úplne objasnený.

Techniky úniku a antianalýzy

PolarEdge obsahuje celý rad sofistikovaných obranných mechanizmov navrhnutých tak, aby sa vyhli detekcii a bránili analýze, čo sťažuje bezpečnostným výskumníkom a automatizovaným nástrojom identifikáciu jeho správania a analýzu jeho vnútorného fungovania.

Skrýva podrobnosti o inicializácii a rutinách snímania odtlačkov TLS servera pomocou obfuskácie.

Počas spúšťania vykonáva maskovanie procesov, pričom náhodne vyberá názov procesu zo vstavaného zoznamu, aby sa splynul s legitímnymi systémovými službami.

Medzi možné názvy patria:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iPhonu

Odolnosť bez klasickej vytrvalosti

Zdá sa, že PolarEdge neinštaluje tradičný mechanizmus perzistencie, ktorý by prežil reštartovanie. Namiesto toho vykonáva runtime trik: rozvetvenie a podriadený proces každých 30 sekúnd oslovuje, či adresár /proc/ rodiča stále existuje. Ak tento adresár zmizne (čo znamená, že rodičovský proces je preč), podriadený proces spustí príkaz shellu na reštartovanie zadných vrátok, čím efektívne zabezpečí oportunistickú obnovu za behu namiesto trvalej perzistencie počas bootovania.

Obranné postrehy

Organizácie spravujúce smerovače a zariadenia NAS by mali zabezpečiť, aby používali aktualizácie dodávateľov a opatrenia na zmiernenie rizík pre zraniteľnosti CVE-2023-20118 a podobné zraniteľnosti umožňujúce vzdialené spustenie. Mali by aktívne monitorovať nezvyčajnú aktivitu TLS zo sieťových zariadení a odchádzajúce pripojenia k neočakávaným hostiteľom. Rovnako dôležité je sledovať známky maskovania procesov a akékoľvek neoprávnené zmeny alebo vymazania sieťových binárnych súborov a webových skriptov.

 

Trendy

American Express – Pokus o prihlásenie bol...

Phishing, Spam
Kyberzločinci často zneužívajú známosť dôveryhodných značiek na to, aby nalákali nič netušiacich používateľov k odhaleniu citlivých informácií. Podvod „American Express – Pokus o prihlásenie bol zablokovaný“ je ukážkovým príkladom tejto taktiky. Tieto e-maily sa vydávajú za bezpečnostné upozornenia od spoločnosti American Express, tvrdia, že podozrivý pokus o prihlásenie bol zablokovaný, a...

Najviac videné

Načítava...