Недавно обнаруженный ботнет Linux на базе Go под названием PumaBot использует метод перебора для взлома учётных данных SSH на встроенных устройствах IoT с целью развёртывания вредоносных программ.
Целенаправленный характер PumaBot также проявляется в том, что он нацелен на конкретные IP-адреса, указанные в списках, полученных с сервера управления и контроля (C2), вместо более широкого сканирования интернета.
Нацеливание на камеры наблюдения
Компания Darktrace описала PumaBot в отчёте, в котором представлен обзор атак ботнета, индикаторы компрометации (IoC) и правила обнаружения.
Вредоносная программа получает список целевых IP-адресов со своего командного сервера (ssh.ddos-cc.org) и пытается выполнить вход в систему методом перебора на порту 22 для получения открытого доступа по SSH.
В ходе этого процесса проверяется наличие строки «Pumatronix», которая, по мнению Darktrace, может указывать на то, что поставщик нацелен на системы видеонаблюдения и дорожные камеры.
После определения целей вредоносное ПО получает учётные данные для их тестирования.
В случае успешного выполнения запускается команда «uname -a», чтобы получить информацию об окружающей среде и убедиться, что целевое устройство не является ложной целью.
Затем он записывает свой основной двоичный файл (jierui) в /lib/redis и устанавливает службу systemd (redis.service) для обеспечения устойчивости при перезагрузке устройства.
Наконец, он внедряет свой собственный SSH в файл «authorized_keys», чтобы сохранить доступ даже в случае очистки, которая удаляет основную инфекцию.
Там, где инфекция остаётся активной, PumaBot может получать команды для попытки кражи данных, внедрения новых вредоносных программ или кражи данных, полезных для горизонтального перемещения.
В качестве примера полезной нагрузки, обнаруженной Darktrace, можно привести самообновляющиеся скрипты, PAM-руткиты, заменяющие легитимный файл pam_unix.so, и демоны (двоичный файл «1»).
Вредоносный модуль PAM собирает локальные и удалённые данные для входа в SSH и сохраняет их в текстовом файле (con.txt). Двоичный файл «наблюдателя» (1) постоянно ищет этот текстовый файл, а затем передаёт его на C2.
Запись учетных данных в текстовый файл
Источник: Darktrace
После извлечения текстовый файл удаляется с заражённого хоста, чтобы стереть все следы вредоносной активности.
Масштабы и успех PumaBot в настоящее время неизвестны, и Darktrace не сообщает, насколько обширны целевые списки IP-адресов.
Этот новый ботнет-вредоносный код отличается тем, что запускает целенаправленные атаки, которые могут привести к более глубокому проникновению в корпоративную сеть, в отличие от использования заражённых IoT-устройств непосредственно для киберпреступлений более низкого уровня, таких как распределённые атаки типа «отказ в обслуживании» (DoS) или прокси-сети.
Чтобы защититься от ботнет-угроз, обновите устройства IoT до последней доступной версии прошивки, измените учётные данные по умолчанию, разместите их за брандмауэрами и держите их в отдельных сетях, изолированных от важных систем.