PolarEdge Botnet

பாதுகாப்பு ஆராய்ச்சியாளர்கள் சமீபத்தில் போலார்எட்ஜ் என அழைக்கப்படும் ரூட்டர்-மையப்படுத்தப்பட்ட பாட்நெட் குடும்பத்தின் இயக்கவியலைத் திறந்துள்ளனர். TLS-அடிப்படையிலான தொடர்பு, உட்பொதிக்கப்பட்ட உள்ளமைவு தந்திரங்கள் மற்றும் வேண்டுமென்றே பகுப்பாய்வு எதிர்ப்பு நடவடிக்கைகள் ஆகியவற்றின் கலவையானது, வீடு மற்றும் SMB நெட்வொர்க் சாதனங்களுக்கு குறிப்பிடத்தக்க அச்சுறுத்தலாக அமைகிறது.

காலவரிசை மற்றும் கண்டுபிடிப்பு

ஆராய்ச்சியாளர்கள் முதன்முதலில் போலார்எட்ஜை பிப்ரவரி 2025 இல் ஆவணப்படுத்தினர், இது பல விற்பனையாளர்களின் ரவுட்டர்கள் மற்றும் NAS சாதனங்களை இலக்காகக் கொண்ட பிரச்சாரங்களுடன் இணைக்கிறது. ஆகஸ்ட் 2025 வாக்கில், ஆய்வாளர்கள் போட்நெட்டின் உள்கட்டமைப்பின் பெரும்பகுதியை வரைபடமாக்கி, செயல்பாட்டு ரிலே பாக்ஸ் (ORB) பாணி நெட்வொர்க்குடன் ஒத்துப்போகும் பண்புகளைக் கவனித்தனர். சில போலார்எட்ஜ் செயல்பாடு ஜூன் 2023 வரை இருக்கலாம் என்று பின்னோக்கிச் செல்லும் டெலிமெட்ரி தெரிவிக்கிறது.

இலக்குகள் மற்றும் ஆரம்ப அணுகல்

சிஸ்கோ, ஆசஸ், க்யூஎன்ஏபி மற்றும் சினாலஜி உள்ளிட்ட முக்கிய விற்பனையாளர்களின் சாதனங்கள் இலக்குகளாக அடையாளம் காணப்பட்டுள்ளன, இது நிறுவன-தர மற்றும் நுகர்வோர்-தர ரவுட்டர்கள் மற்றும் NAS அமைப்புகள் இரண்டும் சுரண்டப்படும் அபாயத்தில் உள்ளன என்பதை எடுத்துக்காட்டுகிறது.

பிப்ரவரி 2025 தாக்குதல் சங்கிலிகளில், அச்சுறுத்தல் நடிகர்கள் 'q' என்ற சிறிய FTP-வழங்கப்பட்ட ஷெல் ஸ்கிரிப்டைப் பெறுவதற்கு அறியப்பட்ட Cisco பாதிப்பை (CVE-2023-20118) பயன்படுத்திக் கொண்டனர். அந்த ஸ்கிரிப்ட்டின் பங்கு, சமரசம் செய்யப்பட்ட ஹோஸ்டில் PolarEdge ELF பின்புறத்தை மீட்டெடுத்துத் தொடங்குவதாகும்.

கோர் இம்ப்லாண்ட் வடிவமைப்பு

போலார்எட்ஜ் என்பது TLS-திறன் கொண்ட ELF உள்வைப்பு ஆகும், இது முதன்மையாக:

• ஒரு ஹோஸ்ட் கைரேகையை கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்திற்கு அனுப்புகிறது, பின்னர்
• mbedTLS v2.8.0 ஐப் பயன்படுத்தி செயல்படுத்தப்பட்ட உள்ளமைக்கப்பட்ட TLS சேவையகத்தில் கட்டளைகளுக்காகக் காத்திருக்கிறது.

இம்பிளாண்டின் இயல்புநிலை நடத்தை, தனிப்பயன் பைனரி நெறிமுறையைப் பயன்படுத்தி ஒரு TLS சேவையகமாகச் செயல்படுவதாகும். ஒரு முக்கிய நெறிமுறை புலம் HasCommand ஆகும்: இந்தப் புலம் ASCII எழுத்து 1 க்கு சமமாக இருக்கும்போது, இம்பிளாண்ட் கட்டளை புலத்தைப் படித்து, குறிப்பிட்ட கட்டளையை உள்ளூரில் செயல்படுத்தி, மூல கட்டளை வெளியீட்டை C2 க்கு வழங்குகிறது.

செயல்பாட்டு முறைகள்

போலார்எட்ஜ் இரண்டு கூடுதல் முறைகளை ஆதரிக்கிறது:

இணைப்பு-மீண்டும் பயன்முறை : தொலை சேவையகங்களிலிருந்து கோப்புகளை இழுக்க இம்பிளாண்ட் ஒரு TLS கிளையண்டைப் போல செயல்படுகிறது.

பிழைத்திருத்த முறை : ஆபரேட்டர்கள் உள்ளமைவு அளவுருக்களை (எடுத்துக்காட்டாக, சேவையக முகவரிகள்) உடனடியாக மாற்ற அனுமதிக்கும் ஒரு ஊடாடும் முறை.

உட்பொதிக்கப்பட்ட உள்ளமைவு மற்றும் குழப்பம்

போட்நெட் அதன் இயக்க நேர உள்ளமைவை ELF படத்தின் இறுதி 512 பைட்டுகளுக்குள் சேமிக்கிறது. அந்தத் தொகுதி ஒற்றை-பைட் XOR உடன் குழப்பமடைந்துள்ளது; ஆராய்ச்சியாளர்கள் XOR விசை 0x11 என்று தெரிவிக்கின்றனர், இது உள்ளமைவை மீட்டெடுக்கப் பயன்படுத்தப்பட வேண்டும்.

கோப்பு செயல்பாடுகள்

செயல்படுத்தலுக்குப் பிறகு, இம்பிளான்ட் கோப்பு முறைமை நகர்வுகள் மற்றும் நீக்குதல்களைச் செய்கிறது (எடுத்துக்காட்டுகளில் /usr/bin/wget மற்றும் /sbin/curl போன்ற பைனரிகளை நகர்த்துவது மற்றும் /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak போன்ற கோப்புகளை நீக்குவது ஆகியவை அடங்கும்). இந்த செயல்களுக்குப் பின்னால் உள்ள துல்லியமான செயல்பாட்டு நோக்கம் கிடைக்கக்கூடிய தரவுகளிலிருந்து முழுமையாகப் புரிந்து கொள்ளப்படவில்லை.

ஏய்ப்பு மற்றும் பகுப்பாய்வு எதிர்ப்பு நுட்பங்கள்

போலார்எட்ஜ் கண்டறிதலைத் தவிர்க்கவும் பகுப்பாய்வைத் தடுக்கவும் வடிவமைக்கப்பட்ட பல்வேறு அதிநவீன தற்காப்பு வழிமுறைகளை உள்ளடக்கியது, இதனால் பாதுகாப்பு ஆராய்ச்சியாளர்கள் மற்றும் தானியங்கி கருவிகள் அதன் நடத்தையை அடையாளம் கண்டு அதன் உள் செயல்பாடுகளைப் பிரிப்பதை மிகவும் கடினமாக்குகிறது.

இது அதன் TLS சேவையக துவக்கம் மற்றும் கைரேகை நடைமுறைகளின் விவரங்களை தெளிவின்மை மூலம் மறைக்கிறது.

தொடக்கத்தின்போது, இது செயல்முறை மாறுவேடத்தை செயல்படுத்துகிறது, முறையான கணினி சேவைகளுடன் கலக்க உள்ளமைக்கப்பட்ட பட்டியலிலிருந்து ஒரு செயல்முறை பெயரை சீரற்ற முறையில் தேர்வு செய்கிறது.

சாத்தியமான சில பெயர்கள் பின்வருமாறு:

• ஐஜிஎம்பிபிராக்ஸி
• WSCD (WSCD)
• /sbin/dhcpd
• httpd
• யுபிஎன்பிடி
• ஐஏபிபி

பாரம்பரிய விடாமுயற்சி இல்லாமல் மீள்தன்மை

மறுதொடக்கங்களைத் தக்கவைக்கும் ஒரு பாரம்பரிய நிலைத்தன்மை பொறிமுறையை போலார்எட்ஜ் நிறுவுவதாகத் தெரியவில்லை. அதற்கு பதிலாக, இது ஒரு இயக்க நேர தந்திரத்தைச் செய்கிறது: பெற்றோரின்/proc/ கோப்பகம் இன்னும் இருக்கிறதா என்று சரிபார்க்க ஒவ்வொரு 30 வினாடிகளுக்கும் ஒரு முறை குழந்தை செயல்முறை கருத்துக் கணிப்புகளை செய்கிறது. அந்த கோப்பகம் மறைந்துவிட்டால் (பெற்றோர் செயல்முறை போய்விட்டதைக் குறிக்கிறது), குழந்தை பின்கதவை மீண்டும் தொடங்க ஷெல் கட்டளையை இயக்குகிறது, இது நிரந்தர துவக்க நேர நிலைத்தன்மைக்கு பதிலாக சந்தர்ப்பவாத இயக்க நேர மீட்டெடுப்பை திறம்பட வழங்குகிறது.

தற்காப்பு பயணங்கள்

ரவுட்டர்கள் மற்றும் NAS சாதனங்களை நிர்வகிக்கும் நிறுவனங்கள், CVE-2023-20118 மற்றும் இதே போன்ற ரிமோட்-எக்ஸிகியூஷன் பாதிப்புகளுக்கு விற்பனையாளர் புதுப்பிப்புகள் மற்றும் தணிப்புகளைப் பயன்படுத்துவதை உறுதிசெய்ய வேண்டும். நெட்வொர்க் சாதனங்கள் மற்றும் எதிர்பாராத ஹோஸ்ட்களுக்கு வெளிச்செல்லும் இணைப்புகளிலிருந்து அசாதாரண TLS செயல்பாட்டை அவர்கள் தீவிரமாகக் கண்காணிக்க வேண்டும். செயல்முறை மறைப்பு அறிகுறிகள் மற்றும் நெட்வொர்க்கிங் பைனரிகள் மற்றும் வலை எதிர்கொள்ளும் ஸ்கிரிப்ட்களின் ஏதேனும் அங்கீகரிக்கப்படாத மாற்றங்கள் அல்லது நீக்குதல்களைக் கண்காணிப்பதும் சமமாக முக்கியமானது.