Ботнет PumaBot
Нещодавно виявлений ботнет Linux під назвою PumaBot сіяє хаос на вбудованих пристроях Інтернету речей. Написаний на Go, цей шкідливий ПЗ використовує методи грубої сили для злому облікових даних SSH, розгортаючи шкідливі корисні навантаження після отримання доступу. На відміну від традиційних ботнетів, які без розбору сканують Інтернет, PumaBot зосереджується на певних IP-адресах, отриманих безпосередньо з його сервера командування та контролю (C2).
Зміст
Точне таргетування: тактичний зсув в експлуатації Інтернету речей
PumaBot вирізняється тим, що отримує кураторські списки IP-адрес зі свого C2-сервера (ssh.ddos-cc.org), що дозволяє йому проводити вузькофокусовані атаки. Такий підхід дозволяє уникнути широкого сканування Інтернету та натякає на намір скомпрометувати певні організації чи пристрої. Він навіть перевіряє пристрої на наявність рядка «Pumatronix» — підказки, яка може вказувати на цільову атаку на системи спостереження та дорожні камери, вироблені цим постачальником.
Від розвідки до винищення: життєвий цикл атаки PumaBot
Після вибору пристрою PumaBot виконує спроби входу в SSH методом перебору на порту 22. У разі успіху він виконує команду 'uname -a', щоб зібрати системну інформацію та перевірити, чи не є пристрій honeypot. Після цієї перевірки ботнет:
- Записує свій основний бінарний файл (jierui) до /lib/redis
- Встановлює постійну службу systemd (redis.service)
- Вставляє власний SSH-ключ у authorized_keys для довгострокового доступу, навіть після очищення системи.
Поза межами зараження: виконання команд та крадіжка даних
За наявності безпечного доступу PumaBot може виконувати подальші команди, зокрема:
- Розгортання нових корисних навантажень
- Витік конфіденційних даних
- Сприяння горизонтальному руху в межах мереж
- Виявлені корисні навантаження включають:
- Самооновлювані скрипти
- Руткіти PAM, що замінюють pam_unix.so
- Бінарний файл демона (з назвою 1), що виконує роль спостерігача за файлами
Шкідливий модуль PAM реєструє облікові дані SSH та зберігає їх у файлі con.txt. Бінарний файл 1 відстежує цей файл і, після його знаходження, виводить його на сервер C2, перш ніж видалити його із зараженої системи — розрахований хід, щоб замести сліди.
Невідомий масштаб, високі ставки: тихе розширення PumaBot
Дослідники ще не визначили масштаб чи рівень успішності кампанії PumaBot. Масштаби списків цільових IP-адрес залишаються неясними. Однак, зосередженість ботнету на глибшому проникненні в мережу, а не на низькоякісній діяльності, такій як DDoS-атаки, свідчить про те, що він становить значну загрозу для корпоративної та критичної інфраструктури.
Будьте попереду: Захист від PumaBot та його видів
Щоб зменшити ризик компрометації PumaBot або подібними загрозами:
- Оновіть прошивку на всіх пристроях Інтернету речей
- Змінити облікові дані за замовчуванням
- Розгорніть брандмауери та обмежте доступ SSH
- Ізоляція пристроїв Інтернету речей у сегментованих мережах
Проактивні методи безпеки є важливими для захисту корпоративних мереж від бот-мереж та глибших порушень.
