Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ ботнета PumaBot: угроза для IoT через целевой SSH-атаку

3 мин
Компания Darktrace выявила новый ботнет под названием PumaBot, который представляет собой серьезную угрозу для устройств Интернета вещей (IoT). В отличие от традиционных зловредов, этот ботнет действует избирательно, получая список потенциальных жертв с командно-контрольного сервера (C2), а не сканируя всю сеть. PumaBot эксплуатирует уязвимости Linux-устройств, используя сложные методы для проникновения и скрытности, что делает его особенно опасным для владельцев IoT-оборудования. Основная стратегия PumaBot заключается в использовании SSH и подборе учетных данных методом грубой силы для получения первоначального доступа. После успешного взлома устройство становится платформой для установки вредоносного кода и дальнейших атак. Одним из ключевых приемов PumaBot является модификация Pluggable Authentication Modules (PAM), что позволяет ему перехватывать входы пользователей и собирать чувствительные данные. PumaBot использует продвинутые механизмы для повышения эффективности и избежания об
Оглавление

Обнаружен продвинутый ботнет PumaBot, нацеленный на IoT-устройства на базе Linux

Компания Darktrace выявила новый ботнет под названием PumaBot, который представляет собой серьезную угрозу для устройств Интернета вещей (IoT). В отличие от традиционных зловредов, этот ботнет действует избирательно, получая список потенциальных жертв с командно-контрольного сервера (C2), а не сканируя всю сеть. PumaBot эксплуатирует уязвимости Linux-устройств, используя сложные методы для проникновения и скрытности, что делает его особенно опасным для владельцев IoT-оборудования.

Как работает PumaBot: методика заражения и проникновения

Основная стратегия PumaBot заключается в использовании SSH и подборе учетных данных методом грубой силы для получения первоначального доступа. После успешного взлома устройство становится платформой для установки вредоносного кода и дальнейших атак.

  • Получение целей: PumaBot получает заранее подготовленный список устройств через C2, вместо масштабного сканирования Интернета.
  • Внедрение и маскировка: вредоносный код записывается в каталог /lib/redis, где файл имитирует легитимный системный компонент Redis.
  • Постоянство во вреде: создается служба systemd с именем redis.service или mysqI.service (обратите внимание на ошибку письма «I» вместо «l»), что позволяет сохранять присутствие после перезагрузок.
  • Дополнительная скрытность: генерируются SSH-ключи, добавляемые в файл authorized_keys, обеспечивая постоянный скрытый доступ.

Использование модифицированных PAM-модулей и кража учетных данных

Одним из ключевых приемов PumaBot является модификация Pluggable Authentication Modules (PAM), что позволяет ему перехватывать входы пользователей и собирать чувствительные данные.

  • Злоумышленники определяют версию PAM на целевой системе (особое внимание уделяется pam_unix.so_v131).
  • Существующий двоичный файл заменяется на пользовательскую версию, работающую как руткит.
  • Модифицированный PAM перехватывает успешные попытки входа и собирает имена пользователей и пароли, включая данные с SSH-подключений.
  • Собранные учетные данные сохраняются в скрытом файле /usr/bin/con.txt.

Дополнительные особенности и тактики уклонения

PumaBot использует продвинутые механизмы для повышения эффективности и избежания обнаружения:

  • Функции статического анализа помогают выявлять IP-адреса целей.
  • Проверки, позволяющие выявлять honeypot-системы, чтобы не попадаться на ловушки безопасности.
  • Обмен данными с C2 происходит в формате JSON с использованием пользовательских HTTP-заголовков для идентификации.

Кроме того, зловред поддерживает выполнение команд, таких как xmrig (часто связанный с майнингом криптовалюты) и networkxm, что указывает на возможность дальнейших эксплуатационных действий или запуска других вредоносных программ.

Стратегический анализ угрозы PumaBot

PumaBot функционирует в полуавтоматическом режиме, регулярно атакуя системы через SSH и применяя комбинацию грубого взлома и встроенных Linux-инструментов. Его использование системных двоичных файлов и службы systemd для сохранения постоянства — свидетельство высокоразвитой техники маскировки.

Эксперты отмечают, что способность ботнета не только сохранять контроль над системами, но и похищать учетные данные, создает условия для долгосрочного и стратегического доступа к уязвимым устройствам. Это значительно увеличивает риск масштабных атак при использовании IoT-оборудования, особенно имеющего слабые или стандартные настройки безопасности.

Рекомендации по защите от PumaBot

  • Своевременное обновление прошивок и программного обеспечения IoT-устройств.
  • Использование надежных и уникальных паролей для SSH-доступа; отказ от стандартных учетных записей.
  • Мониторинг служб systemd на наличие подозрительных или незнакомых сервисов.
  • Регулярный аудит ключей SSH в файлах authorized_keys.
  • Настройка сетевых фильтров и обнаружение подозрительной сетевой активности, особенно связанной с нестандартными HTTP-заголовками и JSON-запросами.

Появление PumaBot подчеркивает важность повышения уровня кибербезопасности IoT-инфраструктуры и требует от администраторов пристального внимания к методам атак и современным средствам защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ ботнета PumaBot: угроза для IoT через целевой SSH-атаку".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.