PumaBot僵尸网络
一个新发现的 Linux 僵尸网络,名为 PumaBot,正在对嵌入式物联网设备造成严重破坏。该恶意软件由 Go 语言编写,使用暴力破解方法破解 SSH 凭证,一旦获得访问权限便部署恶意负载。与传统僵尸网络不加区分地扫描互联网不同,PumaBot 会锁定直接从其命令与控制 (C2) 服务器获取的特定 IP 地址。
目录
精准瞄准:物联网利用的战术转变
PumaBot 的独特之处在于,它从其 C2 服务器 (ssh.ddos-cc.org) 中提取精心策划的 IP 目标列表,从而能够发起高度集中的攻击。这种方法避免了广泛的互联网扫描,并暗示了其针对特定组织或设备的攻击意图。它甚至会检查设备中是否存在“Pumatronix”字符串——这条线索可能表明其攻击目标是该供应商生产的监控和交通摄像头系统。
从侦察到根:PumaBot 的攻击生命周期
一旦选定设备,PumaBot 就会在 22 端口执行暴力破解 SSH 登录尝试。如果成功,它会运行“uname -a”命令来收集系统信息,并验证该设备是否为蜜罐。验证完成后,僵尸网络会:
- 将其主二进制文件(jierui)写入/lib/redis
- 安装持久性 systemd 服务(redis.service)
- 将自己的 SSH 密钥注入到authorized_keys中,以便长期访问,即使在系统清理之后也是如此
超越感染:命令执行和数据窃取
在访问安全的情况下,PumaBot 可以执行进一步的命令,包括:
- 部署新的有效载荷
- 泄露敏感数据
- 促进网络内的横向移动
- 检测到的有效载荷包括:
- 自我更新脚本
- 替换 pam_unix.so 的 PAM rootkit
- 一个守护进程二进制文件(名为 1),充当文件监视程序
恶意 PAM 模块会记录 SSH 凭证并将其存储在 con.txt 文件中。1 号二进制文件会监视此文件,一旦发现,便会将其泄露到 C2 服务器,然后再将其从受感染的系统中清除——这是一种精心策划的掩盖行踪的举动。
未知范围,高风险:PumaBot 的悄然扩张
研究人员尚未确定PumaBot攻击活动的规模或成功率。目标IP地址列表的范围尚不清楚。然而,该僵尸网络专注于更深层次的网络渗透,而非像DDoS攻击这样的低级活动,这表明它对企业和关键基础设施构成了重大威胁。
保持领先:防御 PumaBot 及其同类
为了降低受到 PumaBot 或类似威胁的风险:
- 更新所有物联网设备上的固件
- 更改默认凭据
- 部署防火墙并限制 SSH 访问
- 在分段网络上隔离物联网设备
主动的安全措施对于阻止僵尸网络参与者并保护企业网络免受更深层次的攻击至关重要。
