Ботнет PolarEdge
Дослідники безпеки нещодавно розкрили механіку сімейства ботнетів, орієнтованих на маршрутизатори, під назвою PolarEdge. Поєднання зв'язку на основі TLS, вбудованих хитрощів конфігурації та навмисних заходів антианалізу робить його значною загрозою для домашніх мережевих пристроїв та пристроїв малого та середнього бізнесу.
Зміст
Хронологія та відкриття
Дослідники вперше задокументували PolarEdge у лютому 2025 року, пов'язавши його з кампаніями, спрямованими на маршрутизатори та пристрої NAS від різних постачальників. До серпня 2025 року аналітики склали карту більшої частини інфраструктури ботнету та виявили риси, що відповідають мережі типу Operational Relay Box (ORB). Ретроспективна телеметрія показує, що деяка активність PolarEdge може датуватися ще червнем 2023 року.
Цілі та початковий доступ
Пристрої від основних постачальників, включаючи Cisco, ASUS, QNAP та Synology, були визначені як цілі, що підкреслює, що під загрозою експлуатації перебувають як маршрутизатори корпоративного, так і споживчого класу, а також системи NAS.
У ланцюжку атак лютого 2025 року зловмисники використали відому вразливість Cisco (CVE-2023-20118) для отримання невеликого FTP-скрипта оболонки під назвою «q». Роль цього скрипта полягала в отриманні та запуску бекдора PolarEdge ELF на скомпрометованому хості.
Дизайн основного імплантату
PolarEdge — це імплантат ELF із підтримкою TLS, який, перш за все,:
- Надсилає відбиток пальця хоста на сервер командування та управління (C2), а потім
- Очікує команд через вбудований TLS-сервер, реалізований за допомогою mbedTLS версії 2.8.0.
Поведінка імпланта за замовчуванням полягає в тому, щоб діяти як TLS-сервер, використовуючи власний двійковий протокол. Одним з ключових полів протоколу є HasCommand: коли це поле дорівнює символу ASCII 1, імплант зчитує поле Command, виконує вказану команду локально та повертає необроблений вивід команди до C2.
Режими роботи
PolarEdge підтримує два додаткові режими:
Режим зворотного підключення : імплант поводиться як клієнт TLS для отримання файлів з віддалених серверів.
Режим налагодження : інтерактивний режим, який дозволяє операторам змінювати параметри конфігурації (наприклад, адреси серверів) на льоту.
Вбудована конфігурація та обфускація
Ботнет зберігає свою конфігурацію виконання всередині останніх 512 байтів образу ELF. Цей блок обфускується за допомогою однобайтового XOR; дослідники повідомляють, що ключ XOR — 0x11, який необхідно застосувати для відновлення конфігурації.
Операції з файлами
Після виконання імплант виконує переміщення та видалення файлової системи (приклади включають переміщення бінарних файлів, таких як /usr/bin/wget та /sbin/curl, та видалення файлів, таких як /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Точний операційний намір цих дій не повністю зрозумілий з наявних даних.
Методи ухилення та антианалізу
PolarEdge включає низку складних захисних механізмів, призначених для уникнення виявлення та перешкоджання аналізу, що ускладнює для дослідників безпеки та автоматизованих інструментів визначення його поведінки та аналіз його внутрішньої роботи.
Він приховує деталі ініціалізації та процедур зняття відбитків пальців TLS-сервера за допомогою обфускації.
Під час запуску він виконує маскування процесу, випадковим чином вибираючи ім'я процесу зі вбудованого списку, щоб зливатися з легітимними системними службами.
Деякі з можливих назв включають:
- igmpproxy
- wscd
- /sbin/dhcpd
- httpd
- upnpd
- iPhonu
Стійкість без класичної наполегливості
Здається, PolarEdge не встановлює традиційний механізм збереження, який би виживав після перезавантаження. Замість цього він виконує трюк під час виконання: він створює розгалуження, і дочірній процес кожні 30 секунд опитує, чи існує батьківський каталог /proc/. Якщо цей каталог зникає (що вказує на відсутність батьківського процесу), дочірній процес виконує команду оболонки для перезапуску бекдору, фактично забезпечуючи опортуністичне відновлення під час виконання, а не постійне збереження під час завантаження.
Захисні висновки
Організації, що керують маршрутизаторами та пристроями NAS, повинні забезпечити застосування оновлень постачальників та заходів для пом'якшення наслідків для вразливостей CVE-2023-20118 та подібних вразливостей віддаленого виконання. Вони повинні активно відстежувати незвичайну активність TLS з мережевих пристроїв та вихідні підключення до неочікуваних хостів. Так само важливо стежити за ознаками маскування процесів та будь-якими несанкціонованими змінами або видаленням мережевих бінарних файлів та веб-скриптів.
