關鍵詞

惡意軟件

一款針對運行 Linux 操作系統的物聯網設備的僵尸網絡通過暴力破解設備憑據并下載加密貨幣挖礦軟件進行攻擊。

Darktrace 的研究人員將該僵尸網絡命名為 “PumaBot”，因為其惡意軟件會檢查字符串 “Pumatronix”，這是一家巴西的監控與交通攝像頭制造商，暗示其可能瞄準該類物聯網設備或試圖規避特定設備的檢測。該僵尸網絡還會對環境進行指紋識別，以避開蜜罐或受限的 shell 環境。

與典型的僵尸網絡不同，PumaBot 并不主動掃描互聯網尋找目標設備，而是連接到一個命令與控制（C2）服務器，從該服務器獲取可能開放了 SSH 端口的設備 IP 列表。Darktrace 發現，該 C2 域名 ssh.ddos-cc.org 在分析時并未解析到有效的互聯網地址。

該僵尸網絡的主要惡意用途是劫持被感染設備進行加密貨幣挖礦，通過運行挖礦程序耗盡設備的計算和能源資源。分析人員推測，PumaBot 可能是一個更大規模行動的一部分，目標是在智能城市或工業監控網絡中建立長期隱秘的控制點。

PumaBot 主要專注于隱蔽滲透和長期控制，其通過創建自定義的 systemd 服務單元（systemd service unit，一種描述系統服務和監聽端口的配置文件）來實現持久化。它還將自己的 SSH 密鑰添加到受信任的 authorized_keys 文件中，即便惡意的 systemd 服務文件被刪除，也能保持控制權。

該惡意軟件安裝于隱藏目錄 /lib/redis 中，偽裝創建名為 redis.service 和 mysqI.service 的系統服務。

PumaBot 使用自定義 HTTP 頭與 C2 服務器通信，其中包含一個異常的 X-API-KEY 字段，值為 “jieruidashabi”。它會上傳設備的系統指紋信息，包括架構、內核版本和用戶憑據，幫助攻擊者實時繪制感染設備的分布圖，并按需部署定制化負載。

Darktrace 還發現 PumaBot 相關的其他惡意二進制文件，包括一個名為 ddaemon 的持久化后門，以及一個名為 networkxm 的組件，負責 SSH 暴力破解和通過 MD5 校驗進行自我更新。

另一個關鍵組件是 installx.sh 腳本，它會修改 Linux 的可插拔認證模塊（PAM）認證棧，植入惡意的 pam_unix.so 模塊，從而竊取本地及遠程登錄的憑據。

為實現數據外泄，一個名為 “1” 的文件監控程序會監視存儲在隱藏文件 con.txt 中的竊取憑據，并將這些數據（包括 SSH 憑據、系統 IP 地址和端口掃描結果）發送給遠程服務器。

研究人員指出：“雖然該僵尸網絡不像傳統蠕蟲那樣自動傳播，但它通過暴力破解行為表現出類似蠕蟲的特征，表明其是一個半自動化的僵尸網絡活動，專注于設備入侵與長期控制。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！