PumaBot殭屍網路
一個新發現的 Linux 殭屍網絡,名為 PumaBot,正在對嵌入式物聯網設備造成嚴重破壞。該惡意軟體由 Go 語言編寫,使用暴力破解方法破解 SSH 憑證,一旦獲得存取權限便部署惡意負載。與傳統殭屍網路不區分地掃描網路不同,PumaBot 會鎖定直接從其命令與控制 (C2) 伺服器取得的特定 IP 位址。
目錄
精準瞄準:物聯網利用的戰術轉變
PumaBot 的獨特之處在於,它從其 C2 伺服器 (ssh.ddos-cc.org) 中提取精心策劃的 IP 目標列表,從而能夠發起高度集中的攻擊。這種方法避免了廣泛的網路掃描,並暗示了其針對特定組織或設備的攻擊意圖。它甚至會檢查設備中是否存在「Pumatronix」字串——這條線索可能表明其攻擊目標是該供應商生產的監控和交通攝影機系統。
從偵察到根:PumaBot 的攻擊生命週期
一旦選定設備,PumaBot 就會在 22 連接埠執行暴力破解 SSH 登入嘗試。如果成功,它會運行“uname -a”命令來收集系統信息,並驗證該設備是否為蜜罐。驗證完成後,殭屍網路會:
- 將其主二進位(jierui)寫入/lib/redis
- 安裝持久性 systemd 服務(redis.service)
- 將自己的 SSH 金鑰注入到authorized_keys中,以便長期訪問,即使在系統清理之後也是如此
超越感染:命令執行和資料竊取
在存取安全的情況下,PumaBot 可以執行進一步的命令,包括:
- 部署新的有效載荷
- 外洩敏感數據
- 促進網路內的橫向移動
- 偵測到的有效載荷包括:
- 自我更新腳本
- 替換 pam_unix.so 的 PAM rootkit
- 一個守護程式二進位(名為 1),充當檔案監視程序
惡意 PAM 模組會記錄 SSH 憑證並將其儲存在 con.txt 檔案中。 1 號二進位檔案會監視此文件,一旦發現,便會將其洩漏到 C2 伺服器,然後再將其從受感染的系統中清除——這是一種精心策劃的掩蓋行踪的舉動。
未知範圍,高風險:PumaBot 的悄悄擴張
研究人員尚未確定PumaBot攻擊活動的規模或成功率。目標IP位址清單的範圍尚不清楚。然而,這個殭屍網路專注於更深層的網路滲透,而非像DDoS攻擊這樣的低階活動,這表明它對企業和關鍵基礎設施構成了重大威脅。
保持領先:防禦 PumaBot 及其同類
為了降低受到 PumaBot 或類似威脅的風險:
- 更新所有物聯網設備上的韌體
- 更改預設憑證
- 部署防火牆並限制 SSH 訪問
- 在分段網路上隔離物聯網設備
主動的安全措施對於阻止殭屍網路參與者並保護企業網路免受更深層的攻擊至關重要。
