Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Botnetler PolarEdge Botnet

PolarEdge Botnet

Mezo'de Botnetler'de
Çevir:

Güvenlik araştırmacıları, yakın zamanda PolarEdge adlı yönlendirici odaklı bir botnet ailesinin işleyişini ortaya çıkardı. TLS tabanlı iletişim, yerleşik yapılandırma hileleri ve kasıtlı anti-analiz önlemlerinin birleşimi, onu ev ve KOBİ ağ cihazları için önemli bir tehdit haline getiriyor.

Zaman Çizelgesi ve Keşif

Araştırmacılar, PolarEdge'i ilk olarak Şubat 2025'te belgelemiş ve onu birden fazla satıcının yönlendiricilerini ve NAS cihazlarını hedef alan kampanyalarla ilişkilendirmişti. Ağustos 2025'e gelindiğinde, analistler botnet altyapısının büyük bir kısmını haritalamış ve Operasyonel Röle Kutusu (ORB) tarzı bir ağ ile tutarlı özellikler gözlemlemişlerdi. Geriye dönük telemetri, bazı PolarEdge faaliyetlerinin Haziran 2023'e kadar uzanabileceğini gösteriyor.

Hedefler ve İlk Erişim

Cisco, ASUS, QNAP ve Synology gibi büyük tedarikçilerin cihazları hedef olarak belirlendi; bu durum, hem kurumsal hem de tüketici sınıfı yönlendiricilerin ve NAS sistemlerinin istismar riski altında olduğunu ortaya koyuyor.

Şubat 2025 saldırı zincirlerinde, tehdit aktörleri bilinen bir Cisco güvenlik açığından (CVE-2023-20118) yararlanarak 'q' adlı küçük bir FTP üzerinden gönderilen kabuk betiğini ele geçirdiler. Bu betiğin görevi, tehlikeye atılan ana bilgisayarda PolarEdge ELF arka kapısını ele geçirmek ve başlatmaktı.

Çekirdek İmplant Tasarımı

PolarEdge, öncelikle şunları sağlayan TLS yeteneğine sahip bir ELF implantıdır:

  • Bir ana bilgisayar parmak izini bir komuta ve kontrol (C2) sunucusuna gönderir, ardından
  • mbedTLS v2.8.0 kullanılarak uygulanan yerleşik TLS sunucusu üzerinden komutları bekler.

İmplantın varsayılan davranışı, özel bir ikili protokol kullanarak bir TLS sunucusu gibi davranmaktır. Anahtar protokol alanlarından biri HasCommand'dır: Bu alan ASCII karakteri 1'e eşit olduğunda, implant Command alanını okur, belirtilen komutu yerel olarak yürütür ve ham komut çıktısını C2'ye döndürür.

Çalışma Modları

PolarEdge iki ek modu destekler:

Geri bağlantı modu : İmplant, uzak sunuculardan dosya çekmek için bir TLS istemcisi gibi davranır.

Hata ayıklama modu : Operatörlerin yapılandırma parametrelerini (örneğin, sunucu adresleri) anında değiştirmelerine olanak tanıyan etkileşimli bir moddur.

Gömülü Yapılandırma ve Karartma

Botnet, çalışma zamanı yapılandırmasını ELF görüntüsünün son 512 baytında saklıyor. Bu blok, tek baytlık bir XOR ile gizleniyor; araştırmacılar, yapılandırmayı kurtarmak için uygulanması gereken XOR anahtarının 0x11 olduğunu bildiriyor.

Dosya İşlemleri

Uygulamanın yürütülmesinden sonra, implant dosya sistemi taşıma ve kaldırma işlemlerini gerçekleştirir (örneğin, /usr/bin/wget ve /sbin/curl gibi ikili dosyaların taşınması ve /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak gibi dosyaların silinmesi). Bu eylemlerin ardındaki kesin operasyonel amaç, mevcut verilerden tam olarak anlaşılamamıştır.

Kaçınma ve Anti-analiz Teknikleri

PolarEdge, tespit edilmekten kaçınmak ve analizi engellemek için tasarlanmış bir dizi gelişmiş savunma mekanizmasını bünyesinde barındırıyor ve bu da güvenlik araştırmacılarının ve otomatik araçların davranışını belirlemesini ve iç işleyişini incelemesini zorlaştırıyor.

TLS sunucusunun başlatılması ve parmak izi alma rutinlerinin ayrıntılarını gizleme yoluyla gizler.

Başlatma sırasında, meşru sistem hizmetleriyle uyum sağlamak için yerleşik bir listeden rastgele bir işlem adı seçerek işlem maskelemesi gerçekleştirir.

Olası isimlerden bazıları şunlardır:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Klasik Azim Olmadan Dayanıklılık

PolarEdge, yeniden başlatmalardan sonra bile varlığını sürdüren geleneksel bir kalıcılık mekanizması kurmuyor gibi görünüyor. Bunun yerine, bir çalışma zamanı hilesi uyguluyor: çatallanıyor ve alt süreç, ana sürecin /proc/ dizininin hala var olup olmadığını kontrol etmek için her 30 saniyede bir sorgulama yapıyor. Bu dizin kaybolursa (ana sürecin kaybolduğunu gösterir), alt süreç arka kapıyı yeniden başlatmak için bir kabuk komutu çalıştırıyor ve bu da kalıcı önyükleme zamanı kalıcılığı yerine fırsatçı çalışma zamanı kurtarma sağlıyor.

Savunma Amaçlı Paket Servisler

Yönlendirici ve NAS cihazlarını yöneten kuruluşlar, CVE-2023-20118 ve benzeri uzaktan yürütme güvenlik açıkları için satıcı güncellemelerini ve güvenlik önlemlerini uyguladıklarından emin olmalıdır. Ağ cihazlarından ve beklenmedik ana bilgisayarlara giden bağlantılardan kaynaklanan olağandışı TLS etkinliğini etkin bir şekilde izlemelidirler. İşlem maskeleme belirtilerini ve ağ ikili dosyalarında ve web tabanlı betiklerde yetkisiz değişiklik veya silme işlemlerini izlemek de aynı derecede önemlidir.


trend

American Express - Oturum Açma Girişimi Engellendi...

Kimlik avı, İstenmeyen e-posta
Siber suçlular, güvenilir markaların bilinirliğinden yararlanarak, şüphelenmeyen kullanıcıları hassas bilgilerini ifşa etmeye ikna ederler. "American Express - Oturum Açma Girişimi Engellendi" dolandırıcılığı, bu taktiğin en iyi örneğidir. Bu e-postalar, American Express'in güvenlik uyarılarını taklit ederek, şüpheli bir oturum açma girişiminin engellendiğini iddia eder ve alıcıyı derhal...

En çok görüntülenen

Yükleniyor...