PumaBot Botnet
Một botnet Linux mới được phát hiện, được gọi là PumaBot, đang tàn phá các thiết bị IoT nhúng. Được viết bằng Go, phần mềm độc hại này sử dụng các phương pháp brute-force để bẻ khóa thông tin xác thực SSH, triển khai các tải trọng độc hại sau khi có được quyền truy cập. Không giống như các botnet truyền thống quét internet một cách bừa bãi, PumaBot tập trung vào các địa chỉ IP cụ thể được lấy trực tiếp từ máy chủ Command-and-Control (C2) của nó.
Mục lục
Nhắm mục tiêu chính xác: Một sự thay đổi chiến thuật trong khai thác IoT
PumaBot tự phân biệt mình bằng cách kéo danh sách mục tiêu IP được quản lý từ máy chủ C2 (ssh.ddos-cc.org), cho phép nó thực hiện các cuộc tấn công có độ tập trung cao. Cách tiếp cận này tránh được các cuộc quét internet rộng rãi và cho thấy ý định xâm phạm các tổ chức hoặc thiết bị cụ thể. Nó thậm chí còn kiểm tra các thiết bị để tìm chuỗi 'Pumatronix' — một manh mối có thể chỉ ra mục tiêu nhắm vào các hệ thống camera giám sát và giao thông do nhà cung cấp này sản xuất.
Từ Docon đến Root: Vòng đời tấn công của PumaBot
Sau khi chọn một thiết bị, PumaBot thực hiện các nỗ lực đăng nhập SSH bằng brute-force trên cổng 22. Nếu thành công, nó sẽ chạy 'uname -a' để thu thập thông tin hệ thống và xác minh thiết bị không phải là honeypot. Sau khi xác minh này, botnet:
- Ghi nhị phân chính của nó (jierui) vào /lib/redis
- Cài đặt dịch vụ systemd liên tục (redis.service)
- Chèn khóa SSH của riêng nó vào authorized_keys để truy cập lâu dài, ngay cả sau khi dọn dẹp hệ thống
Ngoài Nhiễm trùng: Thực hiện lệnh và Trộm cắp dữ liệu
Với quyền truy cập được bảo mật, PumaBot có thể thực hiện thêm các lệnh, bao gồm:
- Triển khai tải trọng mới
- Trích xuất dữ liệu nhạy cảm
- Tạo điều kiện cho sự di chuyển ngang trong mạng lưới
- Các tải trọng được phát hiện bao gồm:
- Các tập lệnh tự cập nhật
- Rootkit PAM thay thế pam_unix.so
- Một daemon nhị phân (được đặt tên là 1) hoạt động như một trình theo dõi tệp
Mô-đun PAM độc hại ghi lại thông tin xác thực SSH và lưu trữ chúng trong con.txt. 1 binary giám sát tệp này và khi tìm thấy, sẽ chuyển tệp này đến máy chủ C2 trước khi xóa khỏi hệ thống bị nhiễm — một động thái được tính toán để che giấu dấu vết.
Phạm vi chưa biết, Rủi ro cao: Sự mở rộng thầm lặng của PumaBot
Các nhà nghiên cứu vẫn chưa xác định được quy mô hoặc tỷ lệ thành công của chiến dịch PumaBot. Phạm vi của danh sách IP mục tiêu vẫn chưa rõ ràng. Tuy nhiên, việc botnet tập trung vào việc xâm nhập mạng sâu hơn, thay vì các hoạt động cấp thấp như tấn công DDoS, cho thấy nó gây ra mối đe dọa đáng kể đối với cơ sở hạ tầng quan trọng và của công ty.
Luôn dẫn đầu: Phòng thủ trước PumaBot và những loại tương tự
Để giảm nguy cơ bị xâm phạm bởi PumaBot hoặc các mối đe dọa tương tự:
- Cập nhật chương trình cơ sở trên tất cả các thiết bị IoT
- Thay đổi thông tin đăng nhập mặc định
- Triển khai tường lửa và hạn chế quyền truy cập SSH
- Cô lập các thiết bị IoT trên các mạng phân đoạn
Các biện pháp bảo mật chủ động là điều cần thiết để ngăn chặn các tác nhân botnet và bảo vệ mạng doanh nghiệp khỏi các vi phạm sâu hơn.
