- 19,436
- 40
- 8 Ноя 2022
Хакеры пришли не за файлами — они пришли за твоей вычислительной мощностью.
Устройства на базе Embedded Linux, используемые в инфраструктуре Интернета вещей ( Для просмотра ссылки Войдиили Зарегистрируйся ), оказались целью новой вредоносной кампании с применением Для просмотра ссылки Войди или Зарегистрируйся под названием PumaBot. Для просмотра ссылки Войди или Зарегистрируйся экспертов Darktrace, этот инструмент, созданный на языке Go, нацелен на подбор учётных данных для доступа по SSH и способен разворачивать дополнительное вредоносное ПО на заражённых системах.
В отличие от обычных сканеров, ботнет не ищет жертвы в Интернете, а получает готовый список IP-адресов от управляющего сервера. Далее он последовательно пытается подобрать Для просмотра ссылки Войдиили Зарегистрируйся для SSH-доступа, осуществляя взлом и закрепляясь в системе. После получения контроля ботнет собирает базовую информацию об устройстве и пересылает её обратно на управляющий сервер.
Среди дополнительных проверок — попытки определить, не является ли система ловушкой, а также поиск строки «Pumatronix», что может свидетельствовать либо о прицельной атаке на производителя камер видеонаблюдения, либо об исключении таких устройств из списка целей.
Для маскировки вредонос записывает себя в директорию, связанную с легитимным Redis, и создаёт устойчивую службу systemd. Имя службы может быть как «redis.service», так и «mysqI.service», где вместо буквы «l» намеренно подставлена заглавная «I». Такое поведение позволяет сохранять устойчивость после перезагрузки и снижает подозрения при поверхностном анализе.
Основные действия PumaBot связаны с несанкционированным майнингом криптовалюты. Запускаемые команды вроде «xmrig» и «networkxm» указывают на использование вычислительных ресурсов заражённых устройств в этих целях. Однако команды выполняются без явного указания путей, что говорит о загрузке или распаковке исполняемых файлов в других местах системы.
Специалисты выявили и другие компоненты ботнета, работающие в рамках одной кампании. Среди них — бэкдор «ddaemon», который загружает бинарник «networkxm» и запускает скрипт установки; инструмент перебора SSH-доступа «networkxm», использующий список паролей от управляющего сервера; «installx.sh», предназначенный для запуска другого скрипта «jc.sh» и очистки истории терминала; «jc.sh», подменяющий системную библиотеку «pam\_unix.so» на вредоносную версию с целью перехвата паролей и загрузки бинарника «1»; и, наконец, сам «1», следящий за появлением файла с перехваченными логинами и отправляющий его содержимое на удалённый сервер.
Механизмы распространения PumaBot придают ему черты червя: автоматизация, использование встроенных утилит Linux, скрытность и адаптация под окружение позволяют ему эффективно ускользать от обнаружения. Особенно это актуально при имитации легитимных бинарных файлов и обходе ловушек, что говорит о высокой степени продуманности архитектуры ботнета.
Устройства на базе Embedded Linux, используемые в инфраструктуре Интернета вещей ( Для просмотра ссылки Войди
В отличие от обычных сканеров, ботнет не ищет жертвы в Интернете, а получает готовый список IP-адресов от управляющего сервера. Далее он последовательно пытается подобрать Для просмотра ссылки Войди
Среди дополнительных проверок — попытки определить, не является ли система ловушкой, а также поиск строки «Pumatronix», что может свидетельствовать либо о прицельной атаке на производителя камер видеонаблюдения, либо об исключении таких устройств из списка целей.
Для маскировки вредонос записывает себя в директорию, связанную с легитимным Redis, и создаёт устойчивую службу systemd. Имя службы может быть как «redis.service», так и «mysqI.service», где вместо буквы «l» намеренно подставлена заглавная «I». Такое поведение позволяет сохранять устойчивость после перезагрузки и снижает подозрения при поверхностном анализе.
Основные действия PumaBot связаны с несанкционированным майнингом криптовалюты. Запускаемые команды вроде «xmrig» и «networkxm» указывают на использование вычислительных ресурсов заражённых устройств в этих целях. Однако команды выполняются без явного указания путей, что говорит о загрузке или распаковке исполняемых файлов в других местах системы.
Специалисты выявили и другие компоненты ботнета, работающие в рамках одной кампании. Среди них — бэкдор «ddaemon», который загружает бинарник «networkxm» и запускает скрипт установки; инструмент перебора SSH-доступа «networkxm», использующий список паролей от управляющего сервера; «installx.sh», предназначенный для запуска другого скрипта «jc.sh» и очистки истории терминала; «jc.sh», подменяющий системную библиотеку «pam\_unix.so» на вредоносную версию с целью перехвата паролей и загрузки бинарника «1»; и, наконец, сам «1», следящий за появлением файла с перехваченными логинами и отправляющий его содержимое на удалённый сервер.
Механизмы распространения PumaBot придают ему черты червя: автоматизация, использование встроенных утилит Linux, скрытность и адаптация под окружение позволяют ему эффективно ускользать от обнаружения. Особенно это актуально при имитации легитимных бинарных файлов и обходе ловушек, что говорит о высокой степени продуманности архитектуры ботнета.
- Источник новости
- www.securitylab.ru
