บอตเน็ต PolarEdge

เมื่อไม่นานมานี้ นักวิจัยด้านความปลอดภัยได้เปิดเผยกลไกของตระกูลบอตเน็ตที่มุ่งเน้นเราเตอร์ ชื่อ PolarEdge การผสมผสานระหว่างการสื่อสารผ่าน TLS กลเม็ดการกำหนดค่าแบบฝังตัว และมาตรการป้องกันการวิเคราะห์ที่จงใจ ทำให้บอตเน็ตกลายเป็นภัยคุกคามที่สำคัญสำหรับอุปกรณ์เครือข่ายภายในบ้านและ SMB

ไทม์ไลน์และการค้นพบ

นักวิจัยได้บันทึกข้อมูล PolarEdge เป็นครั้งแรกในเดือนกุมภาพันธ์ 2568 โดยเชื่อมโยงกับแคมเปญที่มุ่งเป้าไปที่เราเตอร์และอุปกรณ์ NAS จากผู้ผลิตหลายราย ภายในเดือนสิงหาคม 2568 นักวิเคราะห์ได้ทำการแมปโครงสร้างพื้นฐานของบอตเน็ตส่วนใหญ่ และสังเกตเห็นลักษณะที่สอดคล้องกับเครือข่ายแบบ Operational Relay Box (ORB) ข้อมูลจากการวัดระยะไกลแบบย้อนหลังชี้ให้เห็นว่ากิจกรรมบางอย่างของ PolarEdge อาจย้อนกลับไปได้ถึงเดือนมิถุนายน 2566

เป้าหมายและการเข้าถึงเบื้องต้น

อุปกรณ์จากผู้จำหน่ายรายใหญ่ เช่น Cisco, ASUS, QNAP และ Synology ได้รับการระบุว่าเป็นเป้าหมาย ซึ่งเน้นย้ำว่าเราเตอร์และระบบ NAS ทั้งระดับองค์กรและระดับผู้บริโภคมีความเสี่ยงที่จะถูกโจมตี

ในการโจมตีแบบต่อเนื่องในเดือนกุมภาพันธ์ พ.ศ. 2568 ผู้ก่อภัยคุกคามได้ใช้ประโยชน์จากช่องโหว่ที่ทราบแล้วของ Cisco (CVE-2023-20118) เพื่อดึงสคริปต์เชลล์ขนาดเล็กที่ส่งผ่าน FTP ชื่อ 'q' บทบาทของสคริปต์ดังกล่าวคือการดึงและเปิดใช้แบ็กดอร์ PolarEdge ELF บนโฮสต์ที่ถูกบุกรุก

การออกแบบแกนกลางของรากเทียม

PolarEdge คืออุปกรณ์ฝัง ELF ที่มีคุณสมบัติ TLS ซึ่งมีหน้าที่หลักดังนี้:

• ส่งลายนิ้วมือโฮสต์ไปยังเซิร์ฟเวอร์คำสั่งและควบคุม (C2) จากนั้น
• รอคำสั่งผ่านเซิร์ฟเวอร์ TLS ในตัวที่ใช้งานโดยใช้ mbedTLS v2.8.0

พฤติกรรมเริ่มต้นของอิมแพลนต์คือทำหน้าที่เป็นเซิร์ฟเวอร์ TLS โดยใช้โปรโตคอลไบนารีแบบกำหนดเอง ฟิลด์โปรโตคอลหลักหนึ่งคือ HasCommand: เมื่อฟิลด์นี้เท่ากับอักขระ ASCII 1 อิมแพลนต์จะอ่านฟิลด์ Command ดำเนินการคำสั่งที่ระบุในเครื่อง และส่งผลลัพธ์คำสั่งดิบกลับไปยัง C2

โหมดการทำงาน

PolarEdge รองรับโหมดเพิ่มเติมสองโหมด:

โหมดเชื่อมต่อกลับ : อิมแพลนต์จะทำงานเหมือนไคลเอนต์ TLS เพื่อดึงไฟล์จากเซิร์ฟเวอร์ระยะไกล

โหมดดีบัก : โหมดโต้ตอบที่ให้ผู้ปฏิบัติงานสามารถเปลี่ยนแปลงพารามิเตอร์การกำหนดค่า (เช่น ที่อยู่เซิร์ฟเวอร์) ได้ทันที

การกำหนดค่าแบบฝังตัวและการบดบัง

บอตเน็ตจัดเก็บการกำหนดค่ารันไทม์ไว้ภายใน 512 ไบต์สุดท้ายของอิมเมจ ELF บล็อกดังกล่าวถูกบดบังด้วย XOR แบบไบต์เดียว นักวิจัยรายงานว่าคีย์ XOR คือ 0x11 ซึ่งต้องใช้เพื่อกู้คืนการกำหนดค่า

การดำเนินการไฟล์

หลังจากดำเนินการแล้ว อิมแพลนต์จะดำเนินการย้ายและลบไฟล์ระบบ (ตัวอย่างเช่น การย้ายไฟล์ไบนารี เช่น /usr/bin/wget และ /sbin/curl และการลบไฟล์ เช่น /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak) ข้อมูลที่มีอยู่ยังไม่สามารถเข้าใจเจตนาการทำงานที่ชัดเจนเบื้องหลังการดำเนินการเหล่านี้ได้

เทคนิคการหลีกเลี่ยงและต่อต้านการวิเคราะห์

PolarEdge รวบรวมกลไกการป้องกันอันซับซ้อนมากมายที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับและขัดขวางการวิเคราะห์ ทำให้ผู้วิจัยด้านความปลอดภัยและเครื่องมืออัตโนมัติประสบความยากลำบากมากขึ้นในการระบุพฤติกรรมและวิเคราะห์การทำงานภายใน

ซ่อนรายละเอียดของการเริ่มต้นเซิร์ฟเวอร์ TLS และรูทีนการระบุลายนิ้วมือผ่านการบดบัง

ในระหว่างการเริ่มต้น ระบบจะทำการพรางตัวกระบวนการโดยเลือกชื่อกระบวนการแบบสุ่มจากรายการในตัวเพื่อผสานเข้ากับบริการระบบที่ถูกต้องตามกฎหมาย

ชื่อที่เป็นไปได้บางส่วนได้แก่:

• ไอจีเอ็มพีพร็อกซี
• ดับเบิ้ลยูเอสซีดี
• /sbin/dhcpd
• httpd
• อัพเอ็นพีดี
• ไอแอป

ความยืดหยุ่นที่ปราศจากความคงอยู่แบบคลาสสิก

PolarEdge ดูเหมือนจะไม่ได้ติดตั้งกลไกการคงอยู่แบบเดิมที่รอดพ้นจากการรีบูต แต่จะใช้กลวิธีแบบรันไทม์แทน นั่นคือการฟอร์กและโปรเซสลูกจะโพลทุก 30 วินาทีเพื่อตรวจสอบว่าไดเร็กทอรี /proc/ ของโปรเซสหลักยังคงอยู่หรือไม่ หากไดเร็กทอรีนั้นหายไป (แสดงว่าโปรเซสหลักหายไปแล้ว) โปรเซสลูกจะรันคำสั่งเชลล์เพื่อรันแบ็กดอร์อีกครั้ง ซึ่งให้ผลเป็นการกู้คืนรันไทม์แบบฉวยโอกาส แทนที่จะเป็นการคงอยู่แบบถาวรขณะบูต

การป้องกัน

องค์กรที่จัดการเราเตอร์และอุปกรณ์ NAS ควรตรวจสอบให้แน่ใจว่าได้ดำเนินการอัปเดตและบรรเทาปัญหา CVE-2023-20118 จากผู้จำหน่าย รวมถึงช่องโหว่การดำเนินการระยะไกลที่คล้ายคลึงกัน ควรตรวจสอบกิจกรรม TLS ที่ผิดปกติจากอุปกรณ์เครือข่ายและการเชื่อมต่อขาออกไปยังโฮสต์ที่ไม่คาดคิดอย่างสม่ำเสมอ การเฝ้าระวังสัญญาณของการปลอมแปลงกระบวนการ และการเปลี่ยนแปลงหรือการลบไฟล์ไบนารีเครือข่ายและสคริปต์บนเว็บโดยไม่ได้รับอนุญาตก็มีความสำคัญไม่แพ้กัน