PolarEdge僵尸网络

安全研究人员最近破解了一个名为 PolarEdge 的针对路由器的僵尸网络家族的机制。该僵尸网络结合了基于 TLS 的通信、嵌入式配置技巧以及精心设计的反分析措施，对家庭和中小企业网络设备构成了显著威胁。

时间线和发现

研究人员于2025年2月首次记录了PolarEdge，并将其与针对多家供应商的路由器和NAS设备的攻击活动联系起来。到2025年8月，分析师已经绘制了该僵尸网络的大部分基础设施，并观察到与操作中继盒（ORB）式网络一致的特征。回顾性遥测表明，PolarEdge的一些活动可能可以追溯到2023年6月。

目标和初始访问

思科、华硕、QNAP 和 Synology 等主要供应商的设备已被确定为攻击目标，这表明企业级和消费级路由器和 NAS 系统都面临被利用的风险。

在 2025 年 2 月的攻击链中，威胁行为者利用已知的思科漏洞 (CVE-2023-20118) 获取了一个名为“q”的 FTP 小型 Shell 脚本。该脚本的作用是在受感染的主机上检索并启动 PolarEdge ELF 后门。

核心植入物设计

PolarEdge 是一种支持 TLS 的 ELF 植入物，主要功能如下：

• 将主机指纹发送到命令和控制 (C2) 服务器，然后
• 等待使用 mbedTLS v2.8.0 实现的内置 TLS 服务器的命令。

该植入程序的默认行为是使用自定义二进制协议充当 TLS 服务器。协议中的一个关键字段是 HasCommand：当该字段等于 ASCII 字符 1 时，植入程序会读取 Command 字段，在本地执行指定的命令，并将原始命令输出返回给 C2。

操作模式

PolarEdge 支持两种附加模式：

回连模式：植入物充当 TLS 客户端，从远程服务器提取文件。

调试模式：一种交互模式，允许操作员动态更改配置参数（例如，服务器地址）。

嵌入式配置和混淆

僵尸网络将其运行时配置存储在 ELF 映像的最后 512 个字节中。该块使用单字节 XOR 进行混淆；研究人员报告称，XOR 密钥为 0x11，必须使用该密钥才能恢复配置。

文件操作

植入程序执行后，会移动和删除文件系统（例如，移动 /usr/bin/wget 和 /sbin/curl 等二进制文件，以及删除 /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak 等文件）。根据现有数据，这些操作背后的确切操作意图尚不完全清楚。

逃避和反分析技术

PolarEdge 采用了一系列复杂的防御机制，旨在逃避检测和阻碍分析，使安全研究人员和自动化工具更难识别其行为并剖析其内部运作。

它通过混淆隐藏了其 TLS 服务器初始化和指纹识别例程的细节。

在启动期间，它会执行进程伪装，从内置列表中随机选择一个进程名称，以与合法的系统服务混合。

一些可能的名称包括：

• igmpproxy
• 世卫组织
• /sbin/dhcpd
• httpd
• upnpd
• 伊普

没有经典持久性的韧性

PolarEdge 似乎并未安装传统的重启后持久化机制。相反，它采用了一种运行时技巧：它会 fork 一次，子进程每 30 秒轮询一次，检查父进程的 /proc/ 目录是否仍然存在。如果该目录消失（表明父进程已消失），子进程就会运行一个 shell 命令重新启动后门，从而有效地提供机会性的运行时恢复，而不是永久的启动时持久化。

防守要点

管理路由器和 NAS 设备的组织应确保应用针对 CVE-2023-20118 及类似远程执行漏洞的供应商更新和缓解措施。他们应主动监控网络设备的异常 TLS 活动以及与意外主机的出站连接。同样重要的是，要注意进程伪装的迹象以及任何未经授权的网络二进制文件和面向 Web 的脚本的更改或删除。