新型隐蔽 Linux 僵尸网络瞄准物联网设备,规避检测能力
Darktrace网络安全研究人员近日曝光了一款名为PumaBot的隐蔽持久型Linux僵尸网络。该恶意程序采用Go语言编译的二进制文件,通过SSH暴力破解攻击和定制后门程序专门针对物联网(IoT)设备。与传统僵尸网络依赖全网扫描的嘈杂攻击方式不同,PumaBot采用更具针对性和隐蔽性的策略,使其更难被检测且具备更强的抗打击能力。
Darktrace在技术分析报告中指出:"该恶意软件并非扫描整个互联网,而是从命令控制(C2)服务器获取目标列表,然后尝试暴力破解SSH凭证。"初始感染阶段,PumaBot会从C2域名(ssh.ddos-cc[.]org)获取开放SSH端口的IP地址列表,随后利用C2提供的凭证进行暴力破解登录,并通过环境指纹识别技术规避检测。
该恶意程序具有以下显著特征:
执行uname -a命令收集系统信息使用自定义HTTP头X-API-KEY: jieruidashabi伪装成Redis文件写入/lib/redis目录通过systemd服务(redis.service或拼写错误的mysqI.service)实现持久化研究人员特别指出:"恶意软件还会将自身SSH密钥添加到用户的authorized_keys文件中",确保即使其服务被移除仍能保持访问权限。
模块化攻击组件Darktrace发现与PumaBot活动相关的多个二进制文件:
(1) ddaemon
基于Go语言的后门程序,可从db.17kp[.]xyz自动更新,并安装SSH暴力破解工具networkxm。通过专用systemd服务实现持久化。
(2) networkxm
独立暴力破解工具,从同一C2基础设施获取凭证和目标IP。以无限循环方式运行,通过networkxm.service建立持久性。
(3) jc.sh与PAM Rootkit
恶意程序执行的bash脚本(jc.sh)具有以下功能:
下载恶意版本替换系统的PAM认证模块(pam_unix.so)将窃取的SSH凭证记录到/usr/bin/con.txt使用守护进程二进制文件(1)监控并将窃取数据外传到lusyn[.]xyz报告披露:"该二进制文件作为rootkit,通过拦截成功登录来窃取凭证...详细信息存储在/usr/bin/con.txt文件中。"
高级规避技术PumaBot及其相关载荷展现出高度隐蔽性:
伪装成系统二进制文件(如Redis)利用systemd实现持久化通过环境检查绕过基础检测禁用SELinux并修改SSH配置Darktrace总结称:"该僵尸网络代表了一种基于Go语言的持久性SSH威胁...其设计意图明显针对防御规避。"
