PolarEdge殭屍網絡
安全研究人員最近破解了一個名為 PolarEdge 的針對路由器的殭屍網路家族的機制。這個殭屍網路結合了基於 TLS 的通訊、嵌入式配置技巧以及精心設計的反分析措施,對家庭和中小企業網路設備構成了顯著威脅。
目錄
時間軸和發現
研究人員於2025年2月首次記錄了PolarEdge,並將其與針對多家供應商的路由器和NAS設備的攻擊活動聯繫起來。到2025年8月,分析師已經繪製了該殭屍網路的大部分基礎設施,並觀察到與操作中繼盒(ORB)式網路一致的特徵。回顧性遙測表明,PolarEdge的一些活動可能可以追溯到2023年6月。
目標和初始訪問
思科、華碩、QNAP 和 Synology 等主要供應商的設備已被確定為攻擊目標,這表明企業級和消費級路由器和 NAS 系統都面臨被利用的風險。
在 2025 年 2 月的攻擊鏈中,威脅行為者利用已知的思科漏洞 (CVE-2023-20118) 取得了一個名為「q」的 FTP 小型 Shell 腳本。該腳本的作用是在受感染的主機上檢索並啟動 PolarEdge ELF 後門。
核心植入物設計
PolarEdge 是一種支援 TLS 的 ELF 植入物,主要功能如下:
- 將主機指紋傳送到命令和控制 (C2) 伺服器,然後
- 等待使用 mbedTLS v2.8.0 實現的內建 TLS 伺服器的命令。
此植入程式的預設行為是使用自訂二進位協定充當 TLS 伺服器。協定中的關鍵字段是 HasCommand:當該字段等於 ASCII 字元 1 時,植入程式會讀取 Command 字段,在本機執行指定的命令,並將原始命令輸出傳回給 C2。
操作模式
PolarEdge 支援兩種附加模式:
回連模式:植入物充當 TLS 用戶端,從遠端伺服器提取檔案。
調試模式:一種互動模式,允許操作員動態更改配置參數(例如,伺服器位址)。
嵌入式配置和混淆
殭屍網路將其運行時配置儲存在 ELF 映像的最後 512 個位元組中。該區塊使用單字節 XOR 進行混淆;研究人員報告稱,XOR 密鑰為 0x11,必須使用該密鑰才能恢復配置。
文件操作
植入程式執行後,會移動和刪除檔案系統(例如,移動 /usr/bin/wget 和 /sbin/curl 等二進位文件,以及刪除 /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak 等檔案)。根據現有數據,這些操作背後的確切操作意圖尚不完全清楚。
逃避和反分析技術
PolarEdge 採用了一系列複雜的防禦機制,旨在逃避檢測和阻礙分析,使安全研究人員和自動化工具更難識別其行為並剖析其內部運作。
它透過混淆隱藏了其 TLS 伺服器初始化和指紋識別例程的細節。
在啟動期間,它會執行進程偽裝,從內建清單中隨機選擇一個進程名稱,以與合法的系統服務混合。
一些可能的名稱包括:
- igmpproxy
- 世衛組織
- /sbin/dhcpd
- httpd
- upnpd
- 伊普
沒有經典持久性的韌性
PolarEdge 似乎並未安裝傳統的重啟後持久化機制。相反,它採用了一種運行時技巧:它會 fork 一次,子進程每 30 秒輪詢一次,檢查父進程的 /proc/ 目錄是否仍然存在。如果該目錄消失(表示父進程已消失),子進程就會執行一個 shell 命令重新啟動後門,從而有效地提供機會性的運行時恢復,而不是永久的啟動時持久化。
防守要點
管理路由器和 NAS 設備的組織應確保應用針對 CVE-2023-20118 及類似遠端執行漏洞的供應商更新和緩解措施。他們應主動監控網路設備的異常 TLS 活動以及與意外主機的出站連線。同樣重要的是,要注意進程偽裝的跡像以及任何未經授權的網路二進位檔案和麵向 Web 的腳本的變更或刪除。
