一种名为PumaBot的新发现的基于Go的Linux僵尸网络恶意软件正在嵌入式物联网设备上强制SSH凭据以部署恶意有效载荷。
PumaBot的目标性质也很明显,它基于从命令和控制(C2)服务器中提取的列表而不是更广泛的互联网扫描来定位特定的IP。
瞄准监控摄像头
Darktrace在一份报告中记录了PumaBota report,提供了僵尸网络攻击流,妥协指标(IoC)和检测规则的概述。
恶意软件从其C2(ssh.ddos-cc.org)接收目标IP列表,并尝试在端口22上执行暴力登录尝试以进行开放SSH访问。
在此过程中,它检查是否存在“Pumatronix”字符串,Darktrace认为该字符串可以与供应商针对监视和交通摄像头系统相对应。
一旦目标建立,恶意软件就会收到凭据来测试它们。
如果成功,它运行“名称 -a”来获取环境信息并验证目标设备不是蜜罐。
接下来,它将其主要二进制(jierui)写入/lib/redis并安装systemd服务(redis.service),以确保跨设备重新启动的持久性。
最后,它将自己的SSH注入到“authorized_keys”文件中以维持访问,即使在清除原发感染的清理情况下也是如此。
在感染保持活动状态时,PumaBot 可以接收命令以尝试数据泄漏、引入新的有效载荷或窃取在横向移动中有用的数据。
Darktrace 看到的示例有效载荷包括自更新脚本、替换合法 ‘pam_unix.so’ 的 PAM rootkit 和守护程序(二进制文件 ” ) 。
恶意 PAM 模块收集本地和远程 SSH 登录详细信息,并将其存储在文本文件 (con.txt) 中。“观察者”二进制(1)不断查找该文本文件,然后将其泄漏到C2。
被清除后,从受感染的主机上擦除文本文件,以删除恶意活动的任何痕迹。
PumaBot的规模和成功目前未知,Darktrace没有提及目标IP列表的广泛程度。
这种新的僵尸网络恶意软件在发起有针对性的攻击方面脱颖而出,这些攻击可能为更深层次的企业网络渗透开辟道路,而不是直接使用受感染的物联网进行低级网络犯罪,例如分布式拒绝服务(DoS)攻击或代理网络。
为了抵御僵尸网络威胁,将物联网升级到最新的可用固件版本,更改默认凭据,将它们放在防火墙后面,并将其保存在与有价值系统隔离的单独网络中。
发表评论
您还未登录,请先登录。
登录