PumaBot Botnet

కొత్తగా కనుగొనబడిన Linux botnet, PumaBot గా పిలువబడుతుంది, ఇది ఎంబెడెడ్ IoT పరికరాల్లో విధ్వంసం సృష్టిస్తోంది. Go లో వ్రాయబడిన ఈ మాల్వేర్, SSH ఆధారాలను క్రాక్ చేయడానికి బ్రూట్-ఫోర్స్ పద్ధతులను ఉపయోగిస్తుంది, యాక్సెస్ పొందిన తర్వాత హానికరమైన పేలోడ్‌లను అమలు చేస్తుంది. ఇంటర్నెట్‌ను విచక్షణారహితంగా స్కాన్ చేసే సాంప్రదాయ botnetల మాదిరిగా కాకుండా, PumaBot దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి నేరుగా పొందిన నిర్దిష్ట IP చిరునామాలపై సున్నాలను నమోదు చేస్తుంది.

ఖచ్చితమైన లక్ష్యం: IoT దోపిడీలో వ్యూహాత్మక మార్పు

PumaBot దాని C2 సర్వర్ (ssh.ddos-cc.org) నుండి క్యూరేటెడ్ IP లక్ష్య జాబితాలను లాగడం ద్వారా తనను తాను వేరు చేసుకుంటుంది, ఇది అధిక దృష్టి కేంద్రీకృత దాడులను నిర్వహించడానికి వీలు కల్పిస్తుంది. ఈ విధానం విస్తృత ఇంటర్నెట్ స్కాన్‌లను నివారిస్తుంది మరియు నిర్దిష్ట సంస్థలు లేదా పరికరాలను రాజీ చేసే ఉద్దేశ్యాన్ని సూచిస్తుంది. ఇది 'Pumatronix' స్ట్రింగ్ కోసం పరికరాలను కూడా తనిఖీ చేస్తుంది - ఈ విక్రేత ఉత్పత్తి చేసే నిఘా మరియు ట్రాఫిక్ కెమెరా వ్యవస్థల లక్ష్యాన్ని సూచించే క్లూ.

రీకాన్ నుండి రూట్ వరకు: ప్యూమాబాట్ యొక్క దాడి జీవితచక్రం

ఒక పరికరాన్ని ఎంచుకున్న తర్వాత, PumaBot పోర్ట్ 22లో బ్రూట్-ఫోర్స్ SSH లాగిన్ ప్రయత్నాలను చేస్తుంది. విజయవంతమైతే, అది సిస్టమ్ సమాచారాన్ని సేకరించి, పరికరం హనీపాట్ కాదని ధృవీకరించడానికి 'uname -a'ని అమలు చేస్తుంది. ఈ ధృవీకరణ తర్వాత, botnet:

• దాని ప్రధాన బైనరీ (jierui) ను /lib/redis కు వ్రాస్తుంది.
• నిరంతర systemd సేవను (redis.service) ఇన్‌స్టాల్ చేస్తుంది.
• సిస్టమ్ క్లీనప్‌ల తర్వాత కూడా, దీర్ఘకాలిక యాక్సెస్ కోసం దాని స్వంత SSH కీని authorized_keysలోకి ఇంజెక్ట్ చేస్తుంది.

ఇన్ఫెక్షన్ దాటి: కమాండ్ ఎగ్జిక్యూషన్ మరియు డేటా దొంగతనం

యాక్సెస్ సురక్షితం అయితే, PumaBot మరిన్ని ఆదేశాలను అమలు చేయగలదు, వాటిలో:

• కొత్త పేలోడ్‌లను మోహరించడం
• సున్నితమైన డేటాను వెలికితీయడం
• నెట్‌వర్క్‌లలో పార్శ్వ కదలికను సులభతరం చేయడం
• గుర్తించబడిన పేలోడ్‌లలో ఇవి ఉన్నాయి:
• స్వీయ-నవీకరణ స్క్రిప్ట్‌లు
• pam_unix.so ని భర్తీ చేసే PAM రూట్‌కిట్‌లు
• ఫైల్ వాచర్‌గా పనిచేసే డెమోన్ బైనరీ (1 అని పేరు పెట్టబడింది)

హానికరమైన PAM మాడ్యూల్ SSH ఆధారాలను లాగ్ చేసి con.txtలో నిల్వ చేస్తుంది. ఈ ఫైల్ కోసం 1 బైనరీ మానిటర్లు మరియు, కనుగొనబడిన తర్వాత, దానిని సోకిన సిస్టమ్ నుండి తుడిచిపెట్టే ముందు C2 సర్వర్‌కు ఎక్స్‌ఫిల్ట్రేట్ చేస్తుంది - దాని ట్రాక్‌లను కవర్ చేయడానికి లెక్కించిన చర్య.

తెలియని పరిధి, అధిక వాటాలు: ప్యూమాబాట్ నిశ్శబ్ద విస్తరణ

ప్యూమాబాట్ ప్రచారం యొక్క స్థాయి లేదా విజయ రేటును పరిశోధకులు ఇంకా నిర్ణయించలేదు. లక్ష్య ఐపీ జాబితాల పరిధి అస్పష్టంగానే ఉంది. అయితే, DDoS దాడుల వంటి తక్కువ-స్థాయి కార్యకలాపాల కంటే లోతైన నెట్‌వర్క్ చొరబాటుపై బోట్‌నెట్ దృష్టి పెట్టడం వలన ఇది కార్పొరేట్ మరియు కీలకమైన మౌలిక సదుపాయాలకు గణనీయమైన ముప్పును కలిగిస్తుందని సూచిస్తుంది.

ముందుకు సాగండి: ప్యూమాబాట్ మరియు దాని రకానికి వ్యతిరేకంగా రక్షించడం

PumaBot లేదా ఇలాంటి బెదిరింపుల ద్వారా రాజీ పడే ప్రమాదాన్ని తగ్గించడానికి:

• అన్ని IoT పరికరాల్లో ఫర్మ్‌వేర్‌ను నవీకరించండి
• డిఫాల్ట్ ఆధారాలను మార్చండి
• ఫైర్‌వాల్‌లను అమలు చేయండి మరియు SSH యాక్సెస్‌ను పరిమితం చేయండి
• విభజించబడిన నెట్‌వర్క్‌లలో IoT పరికరాలను వేరుచేయండి

బోట్‌నెట్ నటులను దూరంగా ఉంచడానికి మరియు లోతైన ఉల్లంఘనల నుండి ఎంటర్‌ప్రైజ్ నెట్‌వర్క్‌లను రక్షించడానికి చురుకైన భద్రతా పద్ధతులు చాలా అవసరం.