Multi-License Discount Quote
Banta sa Database Mga botnet PolarEdge Botnet

PolarEdge Botnet

Sa pamamagitan ng Mezo sa Mga botnet
Isalin To:

Na-unpack kamakailan ng mga mananaliksik sa seguridad ang mga mekanika ng isang pamilyang botnet na nakatuon sa router na tinatawag na PolarEdge. Ang kumbinasyon nito ng TLS-based na komunikasyon, naka-embed na configuration trick, at sinasadyang anti-analysis na mga hakbang ay ginagawa itong isang kapansin-pansing banta sa mga appliances sa bahay at SMB network.

Timeline At Pagtuklas

Unang naidokumento ng mga mananaliksik ang PolarEdge noong Pebrero 2025, na ini-link ito sa mga campaign na nagta-target ng mga router at NAS device mula sa maraming vendor. Pagsapit ng Agosto 2025, na-map ng mga analyst ang karamihan sa imprastraktura ng botnet at naobserbahan ang mga katangiang naaayon sa isang Operational Relay Box (ORB) style network. Iminumungkahi ng retrospective telemetry na ang ilang aktibidad ng PolarEdge ay maaaring magmula noong Hunyo 2023.

Mga Target At Paunang Pag-access

Ang mga device mula sa mga pangunahing vendor, kabilang ang Cisco, ASUS, QNAP, at Synology, ay natukoy bilang mga target, na nagha-highlight na parehong enterprise-grade at consumer-grade router at NAS system ay nasa panganib ng pagsasamantala.

Sa mga chain ng pag-atake noong Pebrero 2025, sinamantala ng mga banta ng aktor ang isang kilalang kahinaan ng Cisco (CVE-2023-20118) upang kumuha ng maliit na script ng shell na inihatid ng FTP na pinangalanang 'q.' Ang tungkulin ng script na iyon ay kunin at ilunsad ang PolarEdge ELF backdoor sa nakompromisong host.

Disenyo ng Core Implant

Ang PolarEdge ay isang TLS-capable ELF implant na pangunahing:

  • Nagpapadala ng fingerprint ng host sa isang command-and-control (C2) server, pagkatapos
  • Naghihintay ng mga command sa isang built-in na TLS server na ipinatupad gamit ang mbedTLS v2.8.0.

Ang default na gawi ng implant ay kumilos bilang TLS server gamit ang custom na binary protocol. Ang isang pangunahing field ng protocol ay HasCommand: kapag ang field na ito ay katumbas ng ASCII character 1, binabasa ng implant ang Command field, lokal na ipapatupad ang tinukoy na command, at ibinabalik ang hilaw na output ng command sa C2.

Mga Mode ng Operasyon

Sinusuportahan ng PolarEdge ang dalawang karagdagang mga mode:

Connect-back mode : ang implant ay kumikilos bilang isang TLS client upang kumuha ng mga file mula sa mga malalayong server.

Debug mode : isang interactive na mode na nagbibigay-daan sa mga operator na baguhin ang mga parameter ng configuration (halimbawa, mga address ng server) sa mabilisang paraan.

Naka-embed na Configuration At Obfuscation

Iniimbak ng botnet ang runtime configuration nito sa loob ng huling 512 bytes ng ELF image. Ang bloke na iyon ay na-obfuscate ng isang solong-byte na XOR; iniulat ng mga mananaliksik na ang XOR key ay 0x11, na dapat ilapat upang mabawi ang configuration.

Mga Operasyon ng File

Pagkatapos ng execution, ang implant ay nagsasagawa ng filesystem moves at removals (mga halimbawa ay kinabibilangan ng paglipat ng mga binary gaya ng /usr/bin/wget at /sbin/curl, at pagtanggal ng mga file gaya ng /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Ang tumpak na layunin sa pagpapatakbo sa likod ng mga pagkilos na ito ay hindi lubos na nauunawaan mula sa magagamit na data.

Mga Diskarteng Pag-iwas At Anti-analysis

Ang PolarEdge ay nagsasama ng isang hanay ng mga sopistikadong mekanismo ng pagtatanggol na idinisenyo upang maiwasan ang pagtuklas at hadlangan ang pagsusuri, na ginagawang mas mahirap para sa mga mananaliksik ng seguridad at mga automated na tool na tukuyin ang pag-uugali nito at paghiwalayin ang mga panloob na gawain nito.

Itinatago nito ang mga detalye ng TLS server initialization at fingerprinting routine nito sa pamamagitan ng obfuscation.

Sa panahon ng pagsisimula, nagsasagawa ito ng proseso ng pagbabalatkayo, random na pumipili ng pangalan ng proseso mula sa isang built-in na listahan upang ihalo sa mga lehitimong serbisyo ng system.

Ang ilan sa mga posibleng pangalan ay kinabibilangan ng:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Katatagan Nang Walang Klasikong Pagtitiyaga

Ang PolarEdge ay hindi lumilitaw na nag-i-install ng isang tradisyonal na mekanismo ng pagtitiyaga na nakaligtas sa mga pag-reboot. Sa halip, ito ay nagsasagawa ng runtime trick: ito ay humihinto at ang bata ay nagpoproseso ng mga botohan bawat 30 segundo upang suriin kung ang direktoryo ng magulang/proc/ ay umiiral pa rin. Kung nawala ang direktoryo na iyon (nagpapahiwatig na wala na ang proseso ng magulang), magpapatakbo ang bata ng shell command upang ilunsad muli ang backdoor, na epektibong nagbibigay ng oportunistikong pagbawi ng runtime kaysa sa permanenteng pagtitiyaga sa oras ng pag-boot.

Defensive Takeaways

Dapat tiyakin ng mga organisasyong namamahala sa mga router at NAS device na maglalapat sila ng mga update at pagpapagaan ng vendor para sa CVE-2023-20118 at mga katulad na kahinaan sa remote-execution. Dapat nilang aktibong subaybayan ang hindi pangkaraniwang aktibidad ng TLS mula sa mga kagamitan sa network at papalabas na koneksyon sa mga hindi inaasahang host. Parehong kritikal na panoorin ang mga palatandaan ng proseso ng pagbabalatkayo at anumang hindi awtorisadong pagbabago o pagtanggal ng mga binary sa networking at mga script na nakaharap sa web.


Trending

Pinaka Nanood

Naglo-load...