PolarEdge Botnet

భద్రతా పరిశోధకులు ఇటీవల పోలార్ ఎడ్జ్ అని పిలువబడే రౌటర్-కేంద్రీకృత బోట్‌నెట్ కుటుంబం యొక్క మెకానిక్‌లను అన్‌ప్యాక్ చేశారు. TLS-ఆధారిత కమ్యూనికేషన్, ఎంబెడెడ్ కాన్ఫిగరేషన్ ట్రిక్స్ మరియు ఉద్దేశపూర్వక యాంటీ-అనాలిసిస్ చర్యల కలయిక దీనిని గృహ మరియు SMB నెట్‌వర్క్ ఉపకరణాలకు గుర్తించదగిన ముప్పుగా మారుస్తుంది.

కాలక్రమం మరియు ఆవిష్కరణ

పరిశోధకులు మొదటిసారిగా ఫిబ్రవరి 2025లో పోలార్‌ఎడ్జ్‌ను డాక్యుమెంట్ చేశారు, బహుళ విక్రేతల నుండి రౌటర్లు మరియు NAS పరికరాలను లక్ష్యంగా చేసుకున్న ప్రచారాలకు దీనిని లింక్ చేశారు. ఆగస్టు 2025 నాటికి, విశ్లేషకులు బోట్‌నెట్ యొక్క మౌలిక సదుపాయాలను చాలా వరకు మ్యాప్ చేశారు మరియు ఆపరేషనల్ రిలే బాక్స్ (ORB) శైలి నెట్‌వర్క్‌కు అనుగుణంగా ఉన్న లక్షణాలను గమనించారు. రెట్రోస్పెక్టివ్ టెలిమెట్రీ కొన్ని పోలార్‌ఎడ్జ్ కార్యకలాపాలు జూన్ 2023 నాటివని సూచిస్తున్నాయి.

లక్ష్యాలు మరియు ప్రారంభ యాక్సెస్

Cisco, ASUS, QNAP మరియు Synology వంటి ప్రధాన విక్రేతల పరికరాలను లక్ష్యంగా గుర్తించారు, ఎంటర్‌ప్రైజ్-గ్రేడ్ మరియు కన్స్యూమర్-గ్రేడ్ రౌటర్లు మరియు NAS వ్యవస్థలు రెండూ దోపిడీకి గురయ్యే ప్రమాదం ఉందని హైలైట్ చేస్తున్నాయి.

ఫిబ్రవరి 2025 దాడుల గొలుసులలో, బెదిరింపు నటులు తెలిసిన సిస్కో దుర్బలత్వాన్ని (CVE-2023-20118) ఉపయోగించుకుని 'q' అనే చిన్న FTP-డెలివరీ షెల్ స్క్రిప్ట్‌ను పొందారు. ఆ స్క్రిప్ట్ పాత్ర రాజీపడిన హోస్ట్‌లో పోలార్‌ఎడ్జ్ ELF బ్యాక్‌డోర్‌ను తిరిగి పొందడం మరియు ప్రారంభించడం.

కోర్ ఇంప్లాంట్ డిజైన్

పోలార్ఎడ్జ్ అనేది TLS-సామర్థ్యం గల ELF ఇంప్లాంట్, ఇది ప్రధానంగా:

• హోస్ట్ వేలిముద్రను కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు పంపుతుంది, ఆపై
• mbedTLS v2.8.0 ఉపయోగించి అమలు చేయబడిన అంతర్నిర్మిత TLS సర్వర్ ద్వారా ఆదేశాల కోసం వేచి ఉంటుంది.

ఇంప్లాంట్ యొక్క డిఫాల్ట్ ప్రవర్తన కస్టమ్ బైనరీ ప్రోటోకాల్ ఉపయోగించి TLS సర్వర్‌గా పనిచేయడం. ఒక కీలక ప్రోటోకాల్ ఫీల్డ్ HasCommand: ఈ ఫీల్డ్ ASCII అక్షరం 1కి సమానం అయినప్పుడు, ఇంప్లాంట్ కమాండ్ ఫీల్డ్‌ను చదువుతుంది, పేర్కొన్న కమాండ్‌ను స్థానికంగా అమలు చేస్తుంది మరియు ముడి కమాండ్ అవుట్‌పుట్‌ను C2కి తిరిగి ఇస్తుంది.

ఆపరేషన్ మోడ్‌లు

పోలార్ఎడ్జ్ రెండు అదనపు మోడ్‌లకు మద్దతు ఇస్తుంది:

కనెక్ట్-బ్యాక్ మోడ్ : ఇంప్లాంట్ రిమోట్ సర్వర్ల నుండి ఫైళ్ళను లాగడానికి TLS క్లయింట్ లాగా ప్రవర్తిస్తుంది.

డీబగ్ మోడ్ : ఆపరేటర్లు ఆకృతీకరణ పారామితులను (ఉదాహరణకు, సర్వర్ చిరునామాలు) తక్షణమే మార్చడానికి అనుమతించే ఇంటరాక్టివ్ మోడ్.

ఎంబెడెడ్ కాన్ఫిగరేషన్ మరియు అస్పష్టత

బోట్‌నెట్ దాని రన్‌టైమ్ కాన్ఫిగరేషన్‌ను ELF ఇమేజ్ యొక్క చివరి 512 బైట్‌లలో నిల్వ చేస్తుంది. ఆ బ్లాక్ సింగిల్-బైట్ XORతో అస్పష్టంగా ఉంది; పరిశోధకులు XOR కీ 0x11 అని నివేదిస్తున్నారు, దీనిని కాన్ఫిగరేషన్‌ను పునరుద్ధరించడానికి వర్తింపజేయాలి.

ఫైల్ ఆపరేషన్లు

అమలు తర్వాత, ఇంప్లాంట్ ఫైల్‌సిస్టమ్ కదలికలు మరియు తొలగింపులను నిర్వహిస్తుంది (ఉదాహరణలలో /usr/bin/wget మరియు /sbin/curl వంటి బైనరీలను తరలించడం మరియు /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak వంటి ఫైల్‌లను తొలగించడం వంటివి ఉన్నాయి). ఈ చర్యల వెనుక ఉన్న ఖచ్చితమైన కార్యాచరణ ఉద్దేశం అందుబాటులో ఉన్న డేటా నుండి పూర్తిగా అర్థం కాలేదు.

ఎగవేత మరియు వ్యతిరేక విశ్లేషణ పద్ధతులు

పోలార్ఎడ్జ్ గుర్తింపును తప్పించుకోవడానికి మరియు విశ్లేషణను అడ్డుకోవడానికి రూపొందించబడిన అధునాతన రక్షణాత్మక విధానాల శ్రేణిని కలిగి ఉంటుంది, దీని వలన భద్రతా పరిశోధకులు మరియు ఆటోమేటెడ్ సాధనాలు దాని ప్రవర్తనను గుర్తించడం మరియు దాని అంతర్గత పనితీరును విడదీయడం మరింత కష్టతరం చేస్తాయి.

ఇది దాని TLS సర్వర్ ప్రారంభీకరణ మరియు వేలిముద్రల నిత్యకృత్యాల వివరాలను అస్పష్టత ద్వారా దాచిపెడుతుంది.

స్టార్టప్ సమయంలో, ఇది ప్రాసెస్ మాస్క్వెరేడింగ్‌ను నిర్వహిస్తుంది, యాదృచ్ఛికంగా బిల్ట్-ఇన్ జాబితా నుండి చట్టబద్ధమైన సిస్టమ్ సేవలతో కలపడానికి ఒక ప్రాసెస్ పేరును ఎంచుకుంటుంది.

సాధ్యమయ్యే పేర్లలో కొన్ని:

• igmpప్రాక్సీ
• డబ్ల్యుఎస్‌సిడి
• /sbin/dhcpd
• httpd
• అప్‌ఎన్‌పిడి
• ఐఏపీ

క్లాసిక్ పెర్సిస్టెన్స్ లేకుండా స్థితిస్థాపకత

రీబూట్‌లను తట్టుకుని నిలిచి ఉండే సాంప్రదాయ పెర్సిస్టెన్స్ మెకానిజమ్‌ను పోలార్ఎడ్జ్ ఇన్‌స్టాల్ చేసినట్లు కనిపించడం లేదు. బదులుగా, ఇది రన్‌టైమ్ ట్రిక్‌ను నిర్వహిస్తుంది: ఇది పేరెంట్స్/proc/ డైరెక్టరీ ఇప్పటికీ ఉందో లేదో తనిఖీ చేయడానికి ప్రతి 30 సెకన్లకు ఫోర్క్ చేసి చైల్డ్ ప్రాసెస్ పోల్ చేస్తుంది. ఆ డైరెక్టరీ అదృశ్యమైతే (పేరెంట్ ప్రాసెస్ పోయిందని సూచిస్తుంది), బ్యాక్‌డోర్‌ను తిరిగి ప్రారంభించడానికి చైల్డ్ షెల్ కమాండ్‌ను అమలు చేస్తుంది, శాశ్వత బూట్-టైమ్ పెర్సిస్టెన్స్ కంటే అవకాశవాద రన్‌టైమ్ రికవరీని సమర్థవంతంగా అందిస్తుంది.

రక్షణాత్మక టేక్‌అవేలు

రౌటర్లు మరియు NAS పరికరాలను నిర్వహించే సంస్థలు CVE-2023-20118 మరియు ఇలాంటి రిమోట్-ఎగ్జిక్యూషన్ దుర్బలత్వాల కోసం విక్రేత నవీకరణలు మరియు ఉపశమనాలను వర్తింపజేస్తున్నాయని నిర్ధారించుకోవాలి. నెట్‌వర్క్ ఉపకరణాలు మరియు ఊహించని హోస్ట్‌లకు అవుట్‌బౌండ్ కనెక్షన్‌ల నుండి అసాధారణ TLS కార్యాచరణ కోసం వారు చురుకుగా పర్యవేక్షించాలి. ప్రాసెస్ మాస్క్వెరేడింగ్ సంకేతాలు మరియు నెట్‌వర్కింగ్ బైనరీలు మరియు వెబ్-ఫేసింగ్ స్క్రిప్ట్‌ల యొక్క ఏవైనా అనధికార మార్పులు లేదా తొలగింపుల కోసం చూడటం కూడా అంతే కీలకం.