Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Botnets PumaBot Botnet

PumaBot Botnet

Nga MezoBotnets
Përkthe në:

Një botnet Linux i zbuluar rishtazi, i quajtur PumaBot, po shkakton kaos në pajisjet e integruara IoT. I shkruar në Go, ky program keqdashës përdor metoda brutale për të thyer kredencialet SSH, duke vendosur ngarkesa dashakeqe sapo të fitohet qasja. Ndryshe nga botnet-et tradicionale që skanojnë internetin pa dallim, PumaBot përqendrohet në adresa specifike IP të marra direkt nga serveri i tij i Komandës dhe Kontrollit (C2).

Targetimi i saktë: Një ndryshim taktik në shfrytëzimin e IoT-së

PumaBot dallohet duke nxjerrë lista të synuara IP nga serveri i tij C2 (ssh.ddos-cc.org), duke i lejuar atij të kryejë sulme shumë të fokusuara. Kjo qasje shmang skanimet e gjera të internetit dhe sugjeron një qëllim për të kompromentuar organizata ose pajisje specifike. Madje inspekton pajisjet për një varg 'Pumatronix' - një e dhënë që mund të tregojë synimin e sistemeve të kamerave të mbikëqyrjes dhe trafikut të prodhuara nga ky shitës.

Nga Zbulimi te Rrënja: Cikli Jetësor i Sulmit të PumaBot

Pasi zgjidhet një pajisje, PumaBot kryen përpjekje për hyrje me forcë në SSH në portin 22. Nëse është e suksesshme, ekzekuton 'uname -a' për të mbledhur informacionin e sistemit dhe për të verifikuar nëse pajisja nuk është një honeypot. Pas këtij verifikimi, botneti:

  • Shkruan binarin e tij kryesor (jierui) në /lib/redis
  • Instalon një shërbim të vazhdueshëm të sistemuar (redis.service)
  • Injekton çelësin e vet SSH në authorized_keys për akses afatgjatë, edhe pas pastrimeve të sistemit.

Përtej Infeksionit: Ekzekutimi i Komandave dhe Vjedhja e të Dhënave

Me akses të siguruar, PumaBot mund të ekzekutojë komanda të mëtejshme, duke përfshirë:

  • Vendosja e ngarkesave të reja
  • Nxjerrja e të dhënave të ndjeshme
  • Lehtësimi i lëvizjes anësore brenda rrjeteve
  • Ngarkesat e zbuluara përfshijnë:
  • Skripte vetë-përditësuese
  • Rootkit-et PAM që zëvendësojnë pam_unix.so
  • Një skedar binar daemon (i quajtur 1) që vepron si një vëzhgues skedarësh

Moduli keqdashës PAM regjistron kredencialet SSH dhe i ruan ato në con.txt. Skedari binar 1 monitoron këtë skedar dhe, pasi gjendet, e ekstralton atë në serverin C2 përpara se ta fshijë nga sistemi i infektuar - një veprim i llogaritur për të mbuluar gjurmët e tij.

Shtrirje e panjohur, Rreziqe të larta: Zgjerimi i heshtur i PumaBot

Studiuesit ende nuk e kanë përcaktuar shkallën ose shkallën e suksesit të fushatës së PumaBot. Shtrirja e listave të IP-ve të synuara mbetet e paqartë. Megjithatë, fokusi i botnet-it në infiltrimin më të thellë të rrjetit, në vend të aktiviteteve të nivelit të ulët si sulmet DDoS, sugjeron se ai përbën një kërcënim të rëndësishëm për infrastrukturën e korporatave dhe atë kritike.

Qëndroni Përpara: Mbrojtja Kundër PumaBot dhe Llojit të Tij

Për të zvogëluar rrezikun e kompromentimit nga PumaBot ose kërcënime të ngjashme:

  • Përditësoni firmware-in në të gjitha pajisjet IoT
  • Ndrysho kredencialet e parazgjedhura
  • Vendosni firewall-e dhe kufizoni aksesin në SSH
  • Izoloni pajisjet IoT në rrjetet e segmentuara

Praktikat proaktive të sigurisë janë thelbësore për të mbajtur larg aktorët e botnet-eve dhe për të mbrojtur rrjetet e ndërmarrjeve nga shkelje më të thella.

Në trend

Më e shikuara

Po ngarkohet...