Perangkat Internet of Things (IoT) berbasis di Linux telah menjadi target botnet baru yang dijuluki Pumabot.
Ditulis di Go, botnet dirancang untuk melakukan serangan brute-force terhadap instance SSH untuk memperluas ukuran dan skala dan memberikan malware tambahan ke host yang terinfeksi.
“Daripada memindai Internet, malware mengambil daftar target dari server perintah-dan-kontrol (C2) dan berupaya untuk brute force ssh kredensial,” kata Darktrace dalam analisis yang dibagikan dengan berita Hacker. “Setelah mendapatkan akses, ia menerima perintah jarak jauh dan membuat kegigihan menggunakan file layanan sistem.”
Botnet Malware dirancang untuk mendapatkan akses awal melalui kredensial SSH yang berhasil memaksakan di seluruh daftar alamat IP yang dipanen dengan port SSH terbuka. Daftar alamat IP ke target diambil dari server eksternal (“ssh.ddos-cc[.]org “).
Sebagai bagian dari upaya brute-force-nya, malware juga melakukan berbagai cek untuk menentukan apakah sistem tersebut cocok dan bukan honeypot. Selain itu, ia memeriksa keberadaan string “Pumatronix,” produsen sistem kamera pengawasan dan lalu lintas, menunjukkan baik upaya untuk secara khusus menyalakannya atau mengecualikannya.
Malware kemudian melanjutkan untuk mengumpulkan dan mengeluarkan informasi sistem dasar ke server C2, setelah itu mengatur kegigihan dan menjalankan perintah yang diterima dari server.
“Malware menulis sendiri kepada /lib /redis, berusaha menyamarkan dirinya sebagai file sistem Redis yang sah,” kata Darktrace. “Ini kemudian menciptakan layanan SystemD yang persisten di/etc/systemd/system, bernama Redis.service atau Mysqi.service (perhatikan ejaan mysql dengan modal I) tergantung pada apa yang telah dimodelkan ke dalam malware.”
Dengan melakukan hal itu, memungkinkan malware memberi kesan bahwa itu jinak dan juga bertahan reboot. Dua perintah yang dijalankan oleh botnet adalah “xmrig” dan “networkxm” yang menunjukkan bahwa perangkat yang dikompromikan digunakan untuk menambang cryptocurrency dengan cara terlarang.
Namun, perintah diluncurkan tanpa menentukan jalur lengkap, aspek yang menandakan bahwa muatan kemungkinan diunduh atau dibongkar di tempat lain pada host yang terinfeksi. Darktrace mengatakan analisisnya tentang kampanye menemukan binari terkait lainnya yang dikatakan dikerahkan sebagai bagian dari kampanye yang lebih luas –
- Ddaemon, backdoor berbasis GO yang mengambil biner “networkxm” menjadi “/usr/src/bao/networkxm” dan menjalankan skrip shell “installx.sh”
- NetworkXM, alat brute-force SSH yang berfungsi mirip dengan tahap awal botnet dengan mengambil daftar kata sandi dari server C2 dan mencoba untuk terhubung melalui SSH di daftar alamat IP target target
- installx.sh, yang digunakan untuk mengambil skrip shell lain “jc.sh” dari “1.Lusyn[.]xyz, “Berikan itu baca, tulis, dan jalankan izin untuk semua level akses, jalankan skrip, dan bersihkan sejarah bash
- jc.sh, yang dikonfigurasi untuk mengunduh file “pam_unix.so” jahat dari server eksternal dan menggunakannya untuk mengganti rekanan yang sah yang diinstal pada mesin, serta mengambil dan menjalankan biner lain bernama “1” dari server yang sama
- Pam_unix.so, yang bertindak sebagai rootkit yang mencuri kredensial dengan mencegat login yang berhasil dan menulisnya ke file “/usr/bin/con.txt”
- 1, yang digunakan untuk memantau file “con.txt” yang ditulis atau dipindahkan ke “/usr/bin/” dan kemudian mengeluarkan isinya ke server yang sama
Given that the SSH brute-force capabilities of the botnet malware lends it worm-like capabilities, users are required to keep an eye out for anomalous SSH login activity, particularly failed login attempts, audit systemd services regularly, review authorized_keys files for the presence of unknown SSH keys, apply strict firewall rules to limit exposure, and filter HTTP requests with non-standard headers, such as X-API-Key: Jieruidashabi.
“Botnet mewakili ancaman SSH berbasis Go yang persisten yang memanfaatkan otomatisasi, kredensial brute-forcing, dan alat Linux asli untuk mendapatkan dan mempertahankan kontrol atas sistem yang dikompromikan,” kata Darktrace.
“Dengan meniru biner yang sah (misalnya, Redis), menyalahgunakan sistem untuk kegigihan, dan menanamkan logika sidik jari untuk menghindari deteksi di honeypot atau lingkungan terbatas, itu menunjukkan niat untuk menghindari pertahanan.”
