Попуст за више лиценци
Тхреат Датабасе Ботнети PolarEdge ботнет

PolarEdge ботнет

До Mezo. у Ботнети
Преведи на:

Истраживачи безбедности су недавно открили механику породице ботнета фокусиране на рутере, назване PolarEdge. Његова комбинација комуникације засноване на TLS-у, уграђених конфигурационих трикова и намерних мера против анализе чини је значајном претњом за кућне и мала и средња предузећа.

Временска линија и откриће

Истраживачи су први пут документовали PolarEdge у фебруару 2025. године, повезујући га са кампањама које су циљале рутере и NAS уређаје од више произвођача. До августа 2025. године, аналитичари су мапирали велики део инфраструктуре ботнета и уочили особине које су у складу са мрежом типа оперативне релејне кутије (ORB). Ретроспективна телеметрија сугерише да неке активности PolarEdge-а могу датирати чак до јуна 2023. године.

Циљеви и почетни приступ

Уређаји главних произвођача, укључујући Cisco, ASUS, QNAP и Synology, идентификовани су као мете, што истиче да су и рутери пословног и потрошачког нивоа и NAS системи у опасности од експлоатације.

У ланцу напада из фебруара 2025. године, претње су искористиле познату Cisco рањивост (CVE-2023-20118) да би преузеле мали FTP-ом испоручени shell скрипт под називом „q“. Улога тог скрипта била је да преузме и покрене PolarEdge ELF бекдор на угроженом хосту.

Дизајн језгра имплантата

PolarEdge је ELF имплантат са TLS-компатибилним системом који првенствено:

  • Шаље отисак прста хоста на командно-контролни (C2) сервер, а затим
  • Чека команде преко уграђеног TLS сервера имплементираног коришћењем mbedTLS v2.8.0.

Подразумевано понашање имплантата је да делује као TLS сервер користећи прилагођени бинарни протокол. Једно кључно поље протокола је HasCommand: када је ово поље једнако ASCII карактеру 1, имплантат чита поље Command, извршава наведену команду локално и враћа сирови излаз команде на C2.

Режими рада

PolarEdge подржава два додатна режима:

Режим повратног повезивања : имплант се понаша као TLS клијент и преузима датотеке са удаљених сервера.

Режим отклањања грешака : интерактивни режим који омогућава оператерима да мењају параметре конфигурације (на пример, адресе сервера) у ходу.

Уграђена конфигурација и замагљивање

Ботнет чува своју конфигурацију током извршавања унутар последњих 512 бајтова ELF слике. Тај блок је замаскиран једнобајтним XOR-ом; истраживачи извештавају да је XOR кључ 0x11, који се мора применити да би се обновила конфигурација.

Операције са датотекама

Након извршавања, имплант врши премештање и уклањање фајл система (примери укључују премештање бинарних датотека као што су /usr/bin/wget и /sbin/curl и брисање датотека као што је /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Прецизна оперативна намера која стоји иза ових акција није у потпуности схваћена на основу доступних података.

Технике избегавања и анти-анализа

PolarEdge укључује низ софистицираних одбрамбених механизама дизајнираних да избегну откривање и ометају анализу, што истраживачима безбедности и аутоматизованим алатима отежава идентификацију његовог понашања и анализу његовог унутрашњег рада.

Крије детаље своје иницијализације TLS сервера и рутина отиска прста путем обфускације.

Током покретања, врши маскирање процеса, насумично бирајући име процеса са уграђене листе како би се уклопио са легитимним системским услугама.

Нека од могућих имена укључују:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • апнпд
  • интернет апликација

Отпорност без класичне упорности

Изгледа да PolarEdge не инсталира традиционални механизам перзистентности који преживљава поновна покретања система. Уместо тога, изводи трик током извршавања система: форкује се, а подређени процес испитује сваких 30 секунди да би проверио да ли родитељски директоријум /proc/ још увек постоји. Ако тај директоријум нестане (што указује да родитељски процес више нема), подређени процес покреће команду шелла да би поново покренуо задња врата, ефикасно пружајући опортунистички опоравак током извршавања система уместо трајне перзистентности током покретања система.

Одбрамбени закључци

Организације које управљају рутерима и NAS уређајима требало би да осигурају да примењују ажурирања и мере за ублажавање последица за CVE-2023-20118 и сличне рањивости даљинског извршавања. Требало би активно да прате неуобичајене TLS активности са мрежних уређаја и одлазних веза ка неочекиваним хостовима. Подједнако је важно пратити знаке маскирања процеса и све неовлашћене измене или брисања мрежних бинарних датотека и скрипти окренутих ка вебу.


У тренду

American Express - Превара: Покушај пријављивања је...

Пецање, Спам
Сајбер криминалци често злоупотребљавају познатост поузданих брендова како би намамили неслутеће кориснике да открију осетљиве информације. Превара „American Express - Покушај пријаве је блокиран“ је одличан пример ове тактике. Ови имејлови опонашају безбедносна упозорења од American Express-а, тврдећи да је сумњиви покушај пријаве блокиран и позивајући примаоца да одмах предузме мере. Кључно...

Најгледанији

Злонамерних програма

Пецање, Спам
33,536
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...