PumaBot 僵尸网络攻击 Linux 物联网设备

Darktrace 研究人员发现一个名为 PumaBot 的新僵尸网络针对基于 Linux 的物联网设备，使用 SSH 暴力攻击窃取凭证、传播恶意软件和挖掘加密货币。

PumaBot 会跳过广泛的互联网扫描，而是从其 C2 服务器提取目标列表，以暴力破解 SSH 登录。一旦登录，它就会运行远程命令并通过创建系统服务文件来建立持久性。研究人员分析了其核心功能和相关二进制文件，以便更好地了解此次攻击活动。

PumaBot 是一个基于 Go 的僵尸网络，它通过暴力破解从其 C2 服务器获取的 IP 地址获取 SSH 凭据，以传播和维持访问权限。

登录后，它会自我部署，收集系统信息，并以 JSON 格式发送，并带有一个唯一的标头。它隐藏在 中/lib/redis，创建一个伪造的 systemd 服务，并添加 SSH 密钥以保持持久性。

该恶意软件运行类似加密货币挖矿程序xmrig以及类似ddaemon的相关二进制文件networkxm，通过启用更新和进一步的暴力破解活动来支持其攻击活动。

该恶意软件在 SSH 暴力破解过程中使用了智能规避策略。它会检查环境以避免蜜罐或受限系统，并专门搜索“Pumatronix”（一家监控和交通摄像头制造商）一词，这暗示着它正在针对物联网设备或试图绕过某些设备。

报告指出：“值得注意的是，该恶意软件会检查字符串‘Pumatronix’（一家监控和交通摄像系统制造商）的存在，这表明该恶意软件可能针对物联网或试图逃避特定设备。”

如果系统通过这些检查，PumaBot 会收集系统信息，将其发送到其 C2 服务器，并将自己隐藏为具有持久 systemd 服务的虚假 Redis 文件。

研究人员还发现了其他相关二进制文件，表明该机器人是针对 Linux 系统更大规模攻击活动的一部分。

该僵尸网络通过暴力破解凭证、模仿Redis等合法工具以及使用 systemd 进行隐秘持久化，构成了持续的 SSH 威胁。其指纹识别有助于规避蜜罐攻击，虽然并非完全自我传播，但其类似蠕虫的行为揭示了一项旨在入侵设备并维持长期访问的半自动化攻击活动。

技术报告：

https://www.darktrace.com/blog/pumabot-novel-botnet-targeting-iot-surveillance-devices

新闻链接：

https://securityaffairs.com/178386/malware/pumabot-targets-linux-iot-devices.html