新型隐蔽Linux僵尸网络瞄准物联网设备,规避检测能力
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
Darktrace研究人员揭示了名为PumaBot的隐蔽Linux僵尸网络,专门针对物联网设备。该恶意程序通过SSH暴力破解和定制后门,采用隐蔽攻击策略,难以被检测。PumaBot从C2服务器获取目标,利用环境指纹规避检测,并通过systemd实现持久化,确保持续访问。
🎯
关键要点
- Darktrace研究人员揭示了名为PumaBot的隐蔽Linux僵尸网络,专门针对物联网设备。
- PumaBot通过SSH暴力破解和定制后门,采用隐蔽攻击策略,难以被检测。
- 该恶意程序从C2服务器获取目标,利用环境指纹规避检测。
- PumaBot通过systemd实现持久化,确保持续访问。
- 恶意软件从C2域名获取开放SSH端口的IP地址列表,进行暴力破解登录。
- PumaBot伪装成Redis文件,并将自身SSH密钥添加到用户的authorized_keys文件中。
- 与PumaBot活动相关的多个二进制文件包括ddaemon和networkxm,具有持久化功能。
- 恶意程序jc.sh下载恶意版本替换系统的PAM认证模块,并窃取SSH凭证。
- PumaBot展现出高度隐蔽性,伪装成系统二进制文件并禁用SELinux。
- 该僵尸网络代表了一种基于Go语言的持久性SSH威胁,明显针对防御规避。
❓
延伸问答
PumaBot是什么类型的恶意软件?
PumaBot是一种隐蔽的Linux僵尸网络,专门针对物联网设备。
PumaBot是如何进行攻击的?
PumaBot通过SSH暴力破解和定制后门进行攻击,获取目标列表并尝试登录。
PumaBot如何规避检测?
PumaBot利用环境指纹识别技术和伪装成系统文件来规避检测。
PumaBot的持久化机制是什么?
PumaBot通过systemd服务实现持久化,确保持续访问。
PumaBot使用了哪些模块化组件?
PumaBot使用了多个二进制文件,包括ddaemon和networkxm,具有暴力破解和更新功能。
PumaBot对物联网设备的威胁是什么?
PumaBot代表了一种持久性SSH威胁,明显针对防御规避,可能导致物联网设备被控制。
➡️
