PolarEdge后门分析:定制攻击威胁思科、群晖及威联通设备
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
Sekoia TDR团队分析了PolarEdge后门,该后门利用思科路由器漏洞传播,现已扩散至QNAP和Synology设备。它通过定制TLS服务器与C2通信,收集主机指纹并执行命令,采用多层加密和反检测技术,具备灵活操作模式。
🎯
关键要点
- Sekoia TDR团队分析了PolarEdge后门,该后门利用思科路由器漏洞传播。
- PolarEdge后门已扩散至华硕、威联通(QNAP)和群晖(Synology)设备。
- 后门通过定制TLS服务器与C2通信,收集主机指纹并执行命令。
- 后门采用多层加密和反检测技术,具备灵活操作模式。
- 恶意软件通过特殊User-Agent字符串发起攻击,执行名为'q'的shell脚本。
- 后门的配置数据采用单字节XOR混淆,包含过滤文件、TLS参数和C2服务器列表。
- 后门每24小时启动指纹收集例程,采集系统元数据并发送至C2服务器。
- 恶意软件使用进程名随机化技术,伪装为系统守护进程以规避检测。
- 后门支持回连和调试模式,为攻击者提供灵活的C2操作选择。
➡️
