ekoia威胁检测与响应(TDR)研究人员发布了对PolarEdge后门的深度技术分析。这一隐蔽的植入程序通过利用CVE-2023-20118(影响Cisco路由器的远程代码执行漏洞)进行部署。此次发现是在该公司 earlier 披露PolarEdge僵尸网络之后——该僵尸网络于2025年1月首次被检测到,目前已证实其感染范围已从Cisco设备扩散至Asus、QNAP和Synology设备。
2025年2月10日,Sekoia的蜜罐检测到同步攻击尝试,攻击者使用模仿macOS版Google Chrome的独特User-Agent字符串。攻击者执行了一个名为q的shell脚本,该脚本进而下载并启动PolarEdge后门。
Sekoia的深入分析指出:“q脚本在受感染系统上下载并启动PolarEdge后门。”
分析样本为针对QNAP NAS设备的ELF 64位可执行文件,大小1.6 MB,采用静态链接且剥离了调试符号,显示出明确的抗分析意图。
该植入程序作为自定义TLS服务器(基于mbedTLS v2.8.0实现),能够接收命令并在受感染主机上直接执行。Sekoia指出:“后门的主要功能是向其命令与控制(C2)服务器发送主机指纹,然后通过内置的mbedTLS TLS服务器监听命令。”
若不带参数执行,后门将以默认服务器模式运行,“启动TLS服务器监听传入命令,并生成一个专用线程,每日向C2发送一次主机指纹。”
有趣的是,恶意软件在启动时会执行文件系统操作。Sekoia解释:“后门启动时会移动和删除设备上的某些文件……我们认为这是为了防止其他威胁行为者利用相同漏洞访问系统。”
这些文件操作针对/usr/bin/wget和/sbin/curl等工具,通过重命名或删除它们来阻止竞争恶意软件利用同一设备。
PolarEdge后门的配置数据存储在二进制文件的最后512字节中,使用单字节XOR(0x11)进行混淆。配置包含三个关键部分——“过滤文件”、TLS参数和C2服务器列表。
Sekoia详细说明:“配置分为三个部分,每个部分由标记标识并以8个空字节分隔。内容通过单字节密钥0x11进行简单XOR解密。”
二进制文件中嵌入的TLS证书包含自签名的PolarSSL测试证书链,提供RSA和ECDSA加密选项。主证书的主题和颁发者字段标识了攻击者的自签名基础设施:
“Subject: C=NL, O=PolarSSL, CN=localhost; Issuer: C=NL, O=PolarSSL, CN=PolarSSL Test CA.”与典型的使用HTTP或MQTT的IoT恶意软件不同,该后门通过TLS上的自定义二进制协议通信,并通过一系列“魔法令牌”验证。
Sekoia写道:“解析传入请求时需验证固定的魔法令牌,并检查其中一个是否与后门配置中存储的值匹配。响应仅包含已执行命令的原始输出,无额外帧结构或身份验证。”
这种缺乏身份验证的设计意味着“任何能读取已安装二进制文件的人都可提取这些魔法值并发出任意命令。”
后门每24小时启动一次指纹收集例程,收集系统元数据并传输至C2服务器。
Sekoia的报告列出了数据范围:“指纹包括以下数据:本地IP地址、MAC地址、当前进程ID、设备品牌(qnap)、模块版本(QNAP_2)和过滤文件路径。”
恶意软件构造包含这些标识符的HTTP GET查询:
ip=%s&version=%s&module=%s&cmd=putdata&data=BRAND=qnap,FILTER_FILE=%s,PID=%d,MODULE=%s,MAC=%s.
若C2服务器响应载荷,载荷将被保存为/tmp/.qnax.sh 并执行,使攻击者获得远程代码执行和持久化能力。
PolarEdge后门采用多层加密,从简单的XOR混淆到PRESENT分组密码(用于运行时解密内部代码段)。
恶意软件还对某些字符串使用Base64编码与仿射密码结合的方式,对ELF节名使用基于旋转的密码进行混淆。
为逃避检测,恶意软件使用进程名随机化,伪装成igmpproxy、dhcpd或upnpd等常见系统守护进程。
Sekoia指出:“它还试图通过挂载自身的/proc/<pid>目录(将/proc/11或/proc/1绑定到该目录)来隐藏内部信息。”
尽管后门重启后不保持持久化,但其会生成一个子watchdog进程,“每30秒检查/proc/<parent-pid>是否存在。若目录消失,子进程将执行shell命令重新启动后门。”
除默认服务器行为外,恶意软件还支持反向连接模式和调试模式,为攻击者提供C2操作的灵活性。
在反向连接模式下,“后门作为TLS客户端从远程服务器下载文件……通过TLS构造并发出HTTP GET请求,并将响应体写入指定本地文件。”
在调试模式下,操作者可通过Base64编码参数动态更新C2服务器。Sekoia解释:“使用选项-m d -d <加密并Base64编码的值>执行时,后门进入特殊模式,仅更新其C2地址。”
发表评论
您还未登录,请先登录。
登录