Multilicenčná zľavová ponuka
Databáza hrozieb Botnety PumaBot Botnet

PumaBot Botnet

Do roku Mezo v roku Botnety
Preložiť do:

Novo objavený linuxový botnet s názvom PumaBot spôsobuje chaos v zariadeniach IoT. Tento malvér, napísaný v jazyku Go, používa metódy hrubej sily na prelomenie SSH prihlasovacích údajov a po získaní prístupu nasadzuje škodlivé dáta. Na rozdiel od tradičných botnetov, ktoré bez rozdielu prehľadávajú internet, sa PumaBot zameriava na konkrétne IP adresy získané priamo z jeho servera Command-and-Control (C2).

Presné zacielenie: Taktický posun vo využívaní internetu vecí

PumaBot sa odlišuje tým, že zo svojho C2 servera (ssh.ddos-cc.org) sťahuje zoznamy cieľových IP adries, čo mu umožňuje vykonávať vysoko cielené útoky. Tento prístup sa vyhýba rozsiahlemu skenovaniu internetu a naznačuje zámer ohroziť konkrétne organizácie alebo zariadenia. Dokonca kontroluje zariadenia a hľadá reťazec „Pumatronix“ – indíciu, ktorá môže poukazovať na cielenie na systémy sledovania a dopravné kamery vyrobené týmto dodávateľom.

Od prieskumu po vykorenenie: Životný cyklus útoku PumaBota

Po výbere zariadenia PumaBot vykoná pokusy o prihlásenie cez SSH metódou hrubej sily na porte 22. Ak je úspešný, spustí príkaz „uname -a“, aby zhromaždil systémové informácie a overil, či zariadenie nie je honeypot. Po tomto overení botnet:

  • Zapíše svoj hlavný binárny súbor (jierui) do /lib/redis
  • Nainštaluje perzistentnú službu systemd (redis.service)
  • Vloží svoj vlastný SSH kľúč do authorized_keys pre dlhodobý prístup, a to aj po vyčistení systému.

Za hranicami infekcie: Vykonávanie príkazov a krádež údajov

So zabezpečeným prístupom môže PumaBot vykonávať ďalšie príkazy vrátane:

  • Nasadenie nových dátových zaťažení
  • Únik citlivých údajov
  • Uľahčenie laterálneho pohybu v rámci sietí
  • Medzi zistené užitočné zaťaženia patria:
  • Samoaktualizujúce sa skripty
  • PAM rootkity, ktoré nahrádzajú pam_unix.so
  • Binárny démon (s názvom 1) fungujúci ako strážca súborov

Škodlivý modul PAM zaznamenáva prihlasovacie údaje SSH a ukladá ich do súboru con.txt. Binárny súbor 1 monitoruje tento súbor a po jeho nájdení ho odošle na server C2 a následne ho vymaže z infikovaného systému – čo je premyslený krok na zahladenie stôp.

Neznámy rozsah, vysoké stávky: Tichá expanzia PumaBotu

Výskumníci zatiaľ nestanovili rozsah ani úspešnosť kampane PumaBot. Rozsah cieľových IP zoznamov zostáva nejasný. Zameranie botnetu na hlbšiu infiltráciu siete, a nie na menej závažné aktivity, ako sú DDoS útoky, však naznačuje, že predstavuje významnú hrozbu pre firemnú a kritickú infraštruktúru.

Zostaňte vpred: Obrana proti PumaBot a jemu podobným

Ak chcete znížiť riziko napadnutia vírusom PumaBot alebo podobnými hrozbami:

  • Aktualizácia firmvéru na všetkých zariadeniach internetu vecí
  • Zmeniť predvolené prihlasovacie údaje
  • Nasadenie firewallov a obmedzenie prístupu SSH
  • Izolácia zariadení IoT v segmentovaných sieťach

Proaktívne bezpečnostné postupy sú nevyhnutné na udržanie aktérov botnetov na uzde a ochranu podnikových sietí pred hlbšími narušeniami.

Trendy

Najviac videné

Načítava...