Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Botnets PolarEdge Botnet

PolarEdge Botnet

Nga MezoBotnets
Përkthe në:

Studiuesit e sigurisë kanë zbërthyer së fundmi mekanizmat e një familjeje botnet-esh të fokusuar në router të quajtur PolarEdge. Kombinimi i komunikimit të bazuar në TLS, truket e konfigurimit të integruara dhe masat e qëllimshme anti-analizë e bëjnë atë një kërcënim të dukshëm për pajisjet e rrjetit shtëpiak dhe SMB.

Kronologjia dhe Zbulimi

Studiuesit e dokumentuan për herë të parë PolarEdge në shkurt të vitit 2025, duke e lidhur atë me fushata që synonin routerë dhe pajisje NAS nga shitës të shumtë. Deri në gusht të vitit 2025, analistët kishin hartuar pjesën më të madhe të infrastrukturës së botnet-it dhe kishin vëzhguar tipare në përputhje me një rrjet në stilin e Kutisë Operacionale të Releve (ORB). Telemetria retrospektive sugjeron që një aktivitet i PolarEdge mund të datojë që nga qershori i vitit 2023.

Synimet dhe Qasja Fillestare

Pajisjet nga shitësit kryesorë, përfshirë Cisco, ASUS, QNAP dhe Synology, janë identifikuar si objektiva, duke theksuar se si ruterët dhe sistemet NAS të nivelit të ndërmarrjeve ashtu edhe të konsumatorëve janë në rrezik shfrytëzimi.

Në zinxhirët e sulmeve të shkurtit 2025, aktorët kërcënues shfrytëzuan një dobësi të njohur të Cisco-s (CVE-2023-20118) për të marrë një skript të vogël të dërguar nga FTP me emrin 'q'. Roli i atij skripti ishte të merrte dhe të niste derën e pasme PolarEdge ELF në hostin e kompromentuar.

Dizajni i Implantit Bërthamë

PolarEdge është një implant ELF i aftë për TLS që kryesisht:

  • Dërgon një gjurmë gishtash të strehuesit në një server komande dhe kontrolli (C2), pastaj
  • Pret komandat mbi një server TLS të integruar të implementuar duke përdorur mbedTLS v2.8.0.

Sjellja e parazgjedhur e implantit është të veprojë si një server TLS duke përdorur një protokoll binar të personalizuar. Një fushë kyçe e protokollit është HasCommand: kur kjo fushë është e barabartë me karakterin ASCII 1, implanti lexon fushën Command, ekzekuton komandën e specifikuar lokalisht dhe kthen rezultatin e komandës së papërpunuar në C2.

Mënyrat e funksionimit

PolarEdge mbështet dy mënyra shtesë:

Modaliteti i lidhjes përsëri : implanti sillet si një klient TLS për të tërhequr skedarë nga serverët e largët.

Modaliteti i debugimit : një modalitet interaktiv që u lejon operatorëve të ndryshojnë parametrat e konfigurimit (për shembull, adresat e serverit) menjëherë.

Konfigurimi dhe errësira e integruar

Botneti ruan konfigurimin e tij të kohës së ekzekutimit brenda 512 bajteve përfundimtare të imazhit ELF. Ky bllok është i errësuar me një XOR me një bajt të vetëm; studiuesit raportojnë se çelësi XOR është 0x11, i cili duhet të aplikohet për të rikuperuar konfigurimin.

Operacionet e skedarëve

Pas ekzekutimit, implanti kryen lëvizje dhe heqje të sistemit të skedarëve (shembujt përfshijnë zhvendosjen e skedarëve binare si /usr/bin/wget dhe /sbin/curl, dhe fshirjen e skedarëve si /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Qëllimi i saktë operacional pas këtyre veprimeve nuk kuptohet plotësisht nga të dhënat e disponueshme.

Teknikat e shmangies dhe anti-analizës

PolarEdge përfshin një gamë mekanizmash mbrojtës të sofistikuar të dizajnuar për të shmangur zbulimin dhe për të penguar analizën, duke e bërë më të vështirë për studiuesit e sigurisë dhe mjetet e automatizuara të identifikojnë sjelljen e tij dhe të analizojnë funksionimin e tij të brendshëm.

Ai fsheh detajet e inicializimit të serverit TLS dhe rutinave të gjurmëve të gishtërinjve nëpërmjet errësimit.

Gjatë nisjes, ai kryen maskimin e procesit, duke zgjedhur rastësisht një emër procesi nga një listë e integruar për t'u përzier me shërbimet legjitime të sistemit.

Disa nga emrat e mundshëm përfshijnë:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Rezistencë pa Këmbëngulje Klasike

PolarEdge nuk duket se instalon një mekanizëm tradicional të persistencës që i mbijeton rinisjeve. Në vend të kësaj, ai kryen një truk në kohën e ekzekutimit: ai degëzohet dhe procesi fëmijë bën sondazhe çdo 30 sekonda për të kontrolluar nëse direktoria/proc/ e prindit ekziston ende. Nëse ajo direktori zhduket (duke treguar se procesi prind është zhdukur), fëmija ekzekuton një komandë shell për të rilançuar derën e pasme, duke siguruar në mënyrë efektive rikuperim oportunist të kohës së ekzekutimit në vend të persistencës së përhershme në kohën e nisjes.

Përfundime Mbrojtëse

Organizatat që menaxhojnë routerët dhe pajisjet NAS duhet të sigurohen që të aplikojnë përditësime dhe zbutje nga shitësit për CVE-2023-20118 dhe dobësi të ngjashme të ekzekutimit në distancë. Ata duhet të monitorojnë në mënyrë aktive aktivitetin e pazakontë TLS nga pajisjet e rrjetit dhe lidhjet dalëse me hostet e papritura. Është po aq e rëndësishme të vëzhgohen shenjat e maskimit të proceseve dhe çdo ndryshim ose fshirje të paautorizuar të skedarëve binare të rrjetit dhe skripteve të faqes në internet.


Në trend

American Express - Mashtrim për bllokimin e...

Fishing, Spam
Kriminelët kibernetikë shpesh shfrytëzojnë njohuritë e markave të besuara për të joshur përdoruesit e pavetëdijshëm që të zbulojnë informacione të ndjeshme. Mashtrimi 'American Express - Përpjekja e Hyrjes u Bllokua' është një shembull kryesor i kësaj taktike. Këto email-e imitojnë alarmet e sigurisë nga American Express, duke pretenduar se një përpjekje e dyshimtë hyrjeje është bllokuar dhe...

Më e shikuara

Po ngarkohet...