Popust za več licenc
Podjetje o grožnjah Botneti Botnet PolarEdge

Botnet PolarEdge

Do leta Mezo leta Botneti
Prevedi v:

Varnostni raziskovalci so nedavno razkrili mehaniko družine botnetov, osredotočenih na usmerjevalnike, imenovane PolarEdge. Zaradi kombinacije komunikacije, ki temelji na TLS, vgrajenih konfiguracijskih trikov in namernih ukrepov proti analizi predstavlja pomembno grožnjo za domače in mala ter srednje velika podjetja.

Časovnica in odkritje

Raziskovalci so prvič dokumentirali PolarEdge februarja 2025 in ga povezali s kampanjami, ki so bile usmerjene na usmerjevalnike in naprave NAS več prodajalcev. Do avgusta 2025 so analitiki preslikali velik del infrastrukture botneta in opazili lastnosti, ki so skladne z omrežjem tipa Operational Relay Box (ORB). Retrospektivna telemetrija kaže, da nekatere dejavnosti PolarEdge lahko segajo vse do junija 2023.

Cilji in začetni dostop

Naprave večjih prodajalcev, vključno s Ciscom, ASUSom, QNAPom in Synologyjem, so bile prepoznane kot tarče, kar poudarja, da so ogroženi tako usmerjevalniki in sistemi NAS za podjetja kot za potrošnike.

V napadalnih verigah februarja 2025 so akterji groženj izkoristili znano ranljivost Cisco (CVE-2023-20118) za pridobitev majhnega skripta lupine z imenom »q«, dostavljenega prek FTP-ja. Naloga tega skripta je bila pridobiti in zagnati zadnja vrata PolarEdge ELF na ogroženem gostitelju.

Oblikovanje jedrnega vsadka

PolarEdge je implantat ELF, ki podpira TLS in predvsem:

  • Pošlje prstni odtis gostitelja na strežnik za upravljanje in nadzor (C2), nato
  • Čaka na ukaze prek vgrajenega strežnika TLS, implementiranega z uporabo mbedTLS v2.8.0.

Privzeto delovanje vsadka je delovanje kot strežnik TLS z uporabo prilagojenega binarnega protokola. Eno ključno polje protokola je HasCommand: ko je to polje enako znaku ASCII 1, vsadek prebere polje Command, lokalno izvede določen ukaz in vrne surov izhod ukaza v C2.

Načini delovanja

PolarEdge podpira dva dodatna načina:

Način povratne povezave : vsadek se obnaša kot odjemalec TLS za pridobivanje datotek z oddaljenih strežnikov.

Način odpravljanja napak : interaktivni način, ki operaterjem omogoča sproti spreminjanje konfiguracijskih parametrov (na primer naslovov strežnikov).

Vgrajena konfiguracija in zatemnitev

Botnet shrani svojo konfiguracijo izvajalnega okolja v zadnjih 512 bajtih slike ELF. Ta blok je zakrit z enobajtnim XOR; raziskovalci poročajo, da je ključ XOR 0x11, ki ga je treba uporabiti za obnovitev konfiguracije.

Operacije z datotekami

Po izvedbi vsadek izvede premikanje in odstranjevanje datotečnega sistema (primeri vključujejo premikanje binarnih datotek, kot sta /usr/bin/wget in /sbin/curl, in brisanje datotek, kot je /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Natančen operativni namen teh dejanj ni povsem razumljiv iz razpoložljivih podatkov.

Tehnike izogibanja in antianalize

PolarEdge vključuje vrsto sofisticiranih obrambnih mehanizmov, zasnovanih tako, da se izognejo odkrivanju in ovirajo analizo, zaradi česar raziskovalci varnosti in avtomatizirana orodja težje prepoznajo njegovo vedenje in analizirajo njegovo notranje delovanje.

Podrobnosti o inicializaciji in rutinah za odvzem prstnih odtisov strežnika TLS skriva z zatemnitvijo.

Med zagonom izvaja maskiranje procesov, pri čemer naključno izbere ime procesa z vgrajenega seznama, da se zlije z legitimnimi sistemskimi storitvami.

Nekatera možna imena vključujejo:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • aplikacija za nakup v trgovini

Odpornost brez klasične vztrajnosti

Zdi se, da PolarEdge ne namešča tradicionalnega mehanizma za ohranjanje delovanja, ki bi preživel ponovne zagone. Namesto tega izvaja trik med izvajanjem: ustvari razcep in podrejeni proces vsakih 30 sekund preveri, ali nadrejeni imenik /proc/ še vedno obstaja. Če ta imenik izgine (kar pomeni, da nadrejenega procesa ni več), podrejeni proces zažene ukaz lupine za ponovni zagon zadnjih vrat, kar učinkovito zagotavlja oportunistično obnovitev med izvajanjem namesto trajne vztrajnosti med zagonom.

Obrambni odvzemi

Organizacije, ki upravljajo usmerjevalnike in naprave NAS, morajo zagotoviti, da uporabljajo posodobitve in ukrepe za ublažitev ranljivosti CVE-2023-20118 in podobnih ranljivosti za oddaljeno izvajanje. Aktivno morajo spremljati nenavadne dejavnosti TLS iz omrežnih naprav in odhodnih povezav do nepričakovanih gostiteljev. Prav tako je pomembno spremljati znake maskiranja procesov in morebitne nepooblaščene spremembe ali izbrise omrežnih binarnih datotek in spletnih skriptov.

 

V trendu

American Express - Poskus prijave je bil blokiran -...

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci pogosto izkoriščajo poznavanje zaupanja vrednih blagovnih znamk, da zvabijo nič hudega sluteče uporabnike v razkritje občutljivih podatkov. Prevara »American Express – poskus prijave je bil blokiran« je odličen primer te taktike. Ta e-poštna sporočila posnemajo varnostna opozorila American Expressa, v katerih trdijo, da je bil sumljiv poskus prijave blokiran, in...

Najbolj gledan

Nalaganje...