Omrežje botov PumaBot

Do leta Mezo leta Botneti

Prevedi v:

Novo odkrito omrežje botov za Linux, imenovano PumaBot, povzroča opustošenje v vgrajenih napravah interneta stvari. Ta zlonamerna programska oprema, napisana v jeziku Go, uporablja metode surove sile za vdor v poverilnice SSH in namešča zlonamerne koristne tovore, ko je pridobljen dostop. Za razliko od tradicionalnih omrežij botov, ki brez razlikovanja pregledujejo internet, se PumaBot osredotoča na določene naslove IP, pridobljene neposredno z njegovega strežnika Command-and-Control (C2).

Kazalo

Natančno ciljanje: taktični premik v izkoriščanju interneta stvari

PumaBot se odlikuje po tem, da s svojega strežnika C2 (ssh.ddos-cc.org) pridobiva izbrane sezname ciljnih IP-naslovov, kar mu omogoča izvajanje zelo osredotočenih napadov. Ta pristop se izogiba obsežnim internetnim pregledom in nakazuje na namen ogrožanja določenih organizacij ali naprav. Naprave celo pregleda za niz »Pumatronix« – namig, ki lahko kaže na ciljanje nadzornih sistemov in sistemov prometnih kamer, ki jih proizvaja ta prodajalec.

Od izvidnice do izkoreninjenja: življenjski cikel napada PumaBota

Ko je naprava izbrana, PumaBot izvede poskuse prijave prek SSH z uporabo surove sile na vratih 22. Če je uspešen, zažene ukaz 'uname -a', da zbere sistemske informacije in preveri, ali naprava ni honeypot. Po tem preverjanju botnet:

Zapiše svojo glavno binarno datoteko (jierui) v /lib/redis
Namesti trajno storitev systemd (redis.service)
V authorized_keys vstavi svoj SSH ključ za dolgoročen dostop, tudi po čiščenju sistema.

Onkraj okužbe: Izvajanje ukazov in kraja podatkov

Z zavarovanim dostopom lahko PumaBot izvaja nadaljnje ukaze, vključno z:

Uvajanje novih koristnih tovorov
Izbruh občutljivih podatkov
Omogočanje lateralnega gibanja znotraj omrežij
Zaznani koristni tovori vključujejo:
Samodejno posodabljajoče se skripte
PAM rootkiti, ki nadomeščajo pam_unix.so
Binarna datoteka demona (z imenom 1), ki deluje kot opazovalec datotek

Zlonamerni modul PAM beleži poverilnice SSH in jih shranjuje v datoteko con.txt. Binarna datoteka 1 spremlja to datoteko in jo, ko jo najde, prenese na strežnik C2, preden jo izbriše iz okuženega sistema – premišljena poteza za prikrivanje sledi.

Neznan obseg, visoki vložki: PumaBotova tiha širitev

Raziskovalci še niso ugotovili obsega ali stopnje uspešnosti kampanje PumaBot. Obseg ciljnih seznamov IP-naslovov ostaja nejasen. Vendar pa osredotočenost botneta na globljo infiltracijo omrežja in ne na nizkocenovne dejavnosti, kot so napadi DDoS, kaže, da predstavlja veliko grožnjo za poslovno in kritično infrastrukturo.

Ostanite korak pred drugimi: obramba pred PumaBotom in njegovimi vrstami

Za zmanjšanje tveganja vdora s strani PumaBot ali podobnih groženj:

Posodobite vdelano programsko opremo na vseh napravah interneta stvari
Spremeni privzete poverilnice
Namestite požarne zidove in omejite dostop SSH
Izolirajte naprave interneta stvari v segmentiranih omrežjih

Proaktivne varnostne prakse so bistvenega pomena za preprečevanje akterjev botnetov in zaščito poslovnih omrežij pred globljimi vdori.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo

Omrežje botov PumaBot

Natančno ciljanje: taktični premik v izkoriščanju interneta stvari

Od izvidnice do izkoreninjenja: življenjski cikel napada PumaBota

Onkraj okužbe: Izvajanje ukazov in kraja podatkov

Neznan obseg, visoki vložki: PumaBotova tiha širitev

Ostanite korak pred drugimi: obramba pred PumaBotom in njegovimi vrstami

Pošlji komentar

V trendu

Perwousesoc.com

Berolorladentra.co.in

Prevara z nagradami za glasovanje pri HyperLend

Najbolj gledan

Kaj je 'msedgewebview2.exe'?

Zlonamerna programska oprema

E-poštna prevara 'Geek Squad'