嘶吼RoarTalk 06-09
新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

一种新发现的基于 Go 的 Linux 僵尸网络恶意软件名为 PumaBot,它通过暴力破解嵌入式物联网设备上的 SSH 凭证来部署恶意负载。

PumaBot 的针对性也体现在它根据从命令和控制 ( C2 ) 服务器获取的列表针对特定的 IP 地址,而不是对互联网进行广泛的扫描。

瞄准监控摄像头

Darktrace 在一份报告中记录了 PumaBot,该报告概述了僵尸网络的攻击流程、入侵指标(IoCs)和检测规则。恶意软件从其 C2 (ssh.ddos-cc.org)接收目标 ip 列表,并试图在端口 22 上执行暴力登录尝试以开放 SSH 访问。在这个过程中,它会检查 "Pumatronix" 字符串的存在,这可能与供应商的监控和交通摄像头系统的目标相对应。

一旦目标被建立,恶意软件就会接收凭证来针对它们进行测试。如果成功,它运行‘ uname -a ’来获取环境信息并验证目标设备不是蜜罐。

接下来,它将它的主二进制文件(jierui)写入 /lib/redis,并安装一个 systemd 服务(redis.service),以确保设备重启时的持久性。

最后,它将自己的 SSH 注入到 "authorized_keys" 文件中以保持访问,即使在清除了主要感染的情况下也是如此。

当感染处于活跃状态时,PumaBot 可以接收命令,试图窃取数据,引入新的有效载荷,或窃取横向移动中有用的数据。

Darktrace 看到的有效负载示例包括自我更新脚本、PAM rootkit(替换合法的 "pam_unix")。所以 ' 和 daemons(二进制文件 "1")。

恶意 PAM 模块获取本地和远程 SSH 登录详细信息,并将其存储在一个文本文件(con.txt)中。" 监视者 " 二进制文件 ( 1 ) 不断查找该文本文件,然后将其泄露到 C2。

在文本文件上写入凭据

在泄漏之后,文本文件将从受感染的主机上擦除,以删除恶意活动的任何痕迹。PumaBot 的规模和成功概率目前尚不清楚,也没有资料提到目标 IP 列表有多广泛。

这种新型僵尸网络恶意软件的特别之处在于,它不是直接利用受感染的物联网进行分布式拒绝服务(DoS)攻击或代理网络等低级网络犯罪,而是发起有针对性的攻击,从而为企业网络的深入渗透开辟了道路。

为了防御僵尸网络威胁,建议将物联网升级到最新可用的固件版本,更改默认凭据,将它们置于防火墙之后,并将它们与有价值的系统隔离在单独的网络中。

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

一起剪

一起剪

ZAKER旗下免费视频剪辑工具

相关标签

物联网 linux 僵尸 互联网 供应商
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论