บอตเน็ต PumaBot

บอตเน็ต Linux ที่เพิ่งค้นพบใหม่ซึ่งมีชื่อว่า PumaBot กำลังสร้างความหายนะให้กับอุปกรณ์ IoT ที่ฝังตัวอยู่ มัลแวร์ที่เขียนด้วยภาษา Go นี้ใช้วิธีการบรูทฟอร์ซเพื่อแคร็กข้อมูลรับรอง SSH และปล่อยเพย์โหลดที่เป็นอันตรายเมื่อเข้าถึงได้แล้ว ซึ่งแตกต่างจากบอตเน็ตทั่วไปที่สแกนอินเทอร์เน็ตแบบไม่เลือกหน้า PumaBot จะเน้นที่ที่อยู่ IP เฉพาะที่ดึงมาโดยตรงจากเซิร์ฟเวอร์ Command-and-Control (C2)

การกำหนดเป้าหมายอย่างแม่นยำ: การเปลี่ยนแปลงเชิงกลยุทธ์ในการใช้ประโยชน์จาก IoT

PumaBot โดดเด่นด้วยการดึงรายการเป้าหมาย IP ที่ได้รับการคัดสรรจากเซิร์ฟเวอร์ C2 (ssh.ddos-cc.org) ทำให้สามารถโจมตีได้ตรงเป้าหมาย วิธีนี้ช่วยหลีกเลี่ยงการสแกนอินเทอร์เน็ตแบบกว้างๆ และบ่งชี้ถึงเจตนาที่จะเจาะระบบหรืออุปกรณ์เฉพาะเจาะจง นอกจากนี้ PumaBot ยังตรวจสอบอุปกรณ์เพื่อหาสตริง "Pumatronix" ซึ่งเป็นเบาะแสที่อาจชี้ไปที่การกำหนดเป้าหมายระบบเฝ้าระวังและกล้องจราจรที่ผลิตโดยผู้จำหน่ายรายนี้

จาก Recon สู่ Root: วงจรชีวิตการโจมตีของ PumaBot

เมื่อเลือกอุปกรณ์แล้ว PumaBot จะพยายามล็อกอิน SSH แบบบรูทฟอร์ซบนพอร์ต 22 หากสำเร็จ PumaBot จะรันคำสั่ง 'uname -a' เพื่อรวบรวมข้อมูลระบบและตรวจสอบว่าอุปกรณ์นั้นไม่ใช่โฮนีพ็อต หลังจากการตรวจสอบนี้ บอตเน็ตจะ:

• เขียนไบนารีหลัก (jierui) ลงใน /lib/redis
• ติดตั้งบริการ systemd ถาวร (redis.service)
• ฉีดคีย์ SSH ของตัวเองลงใน authorized_keys เพื่อการเข้าถึงในระยะยาว แม้หลังจากการล้างระบบแล้ว

เหนือกว่าการติดเชื้อ: การดำเนินการตามคำสั่งและการขโมยข้อมูล

เมื่อการเข้าถึงได้รับการรักษาความปลอดภัย PumaBot สามารถดำเนินการคำสั่งเพิ่มเติมได้ รวมถึง:

• การนำเพย์โหลดใหม่มาใช้
• การขโมยข้อมูลที่ละเอียดอ่อน
• อำนวยความสะดวกในการเคลื่อนไหวด้านข้างภายในเครือข่าย
• ข้อมูลที่ตรวจจับได้ได้แก่:
• สคริปต์อัปเดตตัวเอง
• รูทคิท PAM ที่แทนที่ pam_unix.so
• ไบนารีเดมอน (ชื่อ 1) ทำหน้าที่เป็นตัวเฝ้าดูไฟล์

โมดูล PAM ที่เป็นอันตรายจะบันทึกข้อมูลรับรอง SSH และจัดเก็บไว้ใน con.txt ไบนารี 1 จะตรวจสอบไฟล์นี้และเมื่อพบแล้ว จะแยกไฟล์ดังกล่าวไปยังเซิร์ฟเวอร์ C2 ก่อนที่จะลบออกจากระบบที่ติดไวรัส ซึ่งเป็นการเคลื่อนไหวที่คำนวณมาเพื่อปกปิดร่องรอย

ขอบเขตที่ไม่รู้จัก เดิมพันสูง: การขยายตัวแบบเงียบ ๆ ของ PumaBot

นักวิจัยยังไม่สามารถระบุขนาดหรืออัตราความสำเร็จของแคมเปญ PumaBot ได้ ขอบเขตของรายชื่อ IP เป้าหมายยังคงไม่ชัดเจน อย่างไรก็ตาม การที่บอตเน็ตมุ่งเน้นไปที่การแทรกซึมเข้าไปในเครือข่ายที่ลึกกว่า มากกว่ากิจกรรมระดับต่ำ เช่น การโจมตี DDoS แสดงให้เห็นว่าบอตเน็ตเป็นภัยคุกคามที่สำคัญต่อองค์กรและโครงสร้างพื้นฐานที่สำคัญ

ก้าวไปข้างหน้า: การป้องกัน PumaBot และสิ่งที่คล้ายคลึงกัน

เพื่อลดความเสี่ยงจากการถูกบุกรุกโดย PumaBot หรือภัยคุกคามที่คล้ายคลึงกัน:

• อัปเดตเฟิร์มแวร์บนอุปกรณ์ IoT ทั้งหมด
• เปลี่ยนข้อมูลประจำตัวเริ่มต้น
• ติดตั้งไฟร์วอลล์และจำกัดการเข้าถึง SSH
• แยกอุปกรณ์ IoT บนเครือข่ายแบบแบ่งส่วน

แนวทางปฏิบัติด้านความปลอดภัยเชิงรุกถือเป็นสิ่งสำคัญในการป้องกันผู้กระทำความผิดจากบอตเน็ต และปกป้องเครือข่ายองค์กรจากการละเมิดที่ร้ายแรงกว่า