PolarEdge后门分析:定制攻击威胁思科、群晖及威联通设备
💡
原文中文,约2200字,阅读约需6分钟。
📝
内容提要
Sekoia TDR团队分析了PolarEdge后门,该后门利用思科路由器漏洞传播,现已扩散至QNAP和Synology设备。它通过定制TLS服务器与C2通信,收集主机指纹并执行命令,采用多层加密和反检测技术,具备灵活操作模式。
🎯
关键要点
- Sekoia TDR团队分析了PolarEdge后门,该后门利用思科路由器漏洞传播。
- PolarEdge后门已扩散至华硕、威联通(QNAP)和群晖(Synology)设备。
- 后门通过定制TLS服务器与C2通信,收集主机指纹并执行命令。
- 后门采用多层加密和反检测技术,具备灵活操作模式。
- 恶意软件通过特殊User-Agent字符串发起攻击,执行名为'q'的shell脚本。
- 后门的配置数据采用单字节XOR混淆,包含过滤文件、TLS参数和C2服务器列表。
- 后门每24小时启动指纹收集例程,采集系统元数据并发送至C2服务器。
- 恶意软件使用进程名随机化技术,伪装为系统守护进程以规避检测。
- 后门支持回连和调试模式,为攻击者提供灵活的C2操作选择。
❓
延伸问答
PolarEdge后门是如何传播的?
PolarEdge后门通过利用思科路由器的远程代码执行漏洞传播,现已扩散至华硕、威联通(QNAP)和群晖(Synology)设备。
PolarEdge后门的主要功能是什么?
PolarEdge后门的主要功能是向C2服务器发送主机指纹信息,并接收和执行命令。
PolarEdge后门如何进行指纹收集?
后门每24小时启动指纹收集例程,采集系统元数据并发送至C2服务器,包括本地IP地址、MAC地址等信息。
PolarEdge后门使用了哪些反检测技术?
后门采用进程名随机化技术伪装为系统守护进程,并通过挂载自身的/proc/目录来隐藏内部结构。
PolarEdge后门的配置数据是如何加密的?
后门的配置数据采用单字节XOR混淆,存储在二进制文件末尾,并包含过滤文件、TLS参数和C2服务器列表。
PolarEdge后门的通信机制有什么特点?
该后门通过定制的TLS协议进行通信,使用魔术令牌验证请求,响应仅包含执行命令的原始输出。
➡️
