PumaBot恶意软件瞄准Linux物联网设备

一款针对运行 Linux 操作系统的物联网设备的僵尸网络通过暴力破解设备凭据并下载加密货币挖矿软件进行攻击。

Darktrace 的研究人员将该僵尸网络命名为 “PumaBot”，因为其恶意软件会检查字符串 “Pumatronix”，这是一家巴西的监控与交通摄像头制造商，暗示其可能瞄准该类物联网设备或试图规避特定设备的检测。该僵尸网络还会对环境进行指纹识别，以避开蜜罐或受限的 shell 环境。

与典型的僵尸网络不同，PumaBot 并不主动扫描互联网寻找目标设备，而是连接到一个命令与控制（C2）服务器，从该服务器获取可能开放了 SSH 端口的设备 IP 列表。Darktrace 发现，该 C2 域名 ssh.ddos-cc.org 在分析时并未解析到有效的互联网地址。

该僵尸网络的主要恶意用途是劫持被感染设备进行加密货币挖矿，通过运行挖矿程序耗尽设备的计算和能源资源。分析人员推测，PumaBot 可能是一个更大规模行动的一部分，目标是在智能城市或工业监控网络中建立长期隐秘的控制点。

PumaBot 主要专注于隐蔽渗透和长期控制，其通过创建自定义的 systemd 服务单元（systemd service unit，一种描述系统服务和监听端口的配置文件）来实现持久化。它还将自己的 SSH 密钥添加到受信任的 authorized_keys 文件中，即便恶意的 systemd 服务文件被删除，也能保持控制权。

该恶意软件安装于隐藏目录 /lib/redis 中，伪装创建名为 redis.service 和 mysqI.service 的系统服务。

PumaBot 使用自定义 HTTP 头与 C2 服务器通信，其中包含一个异常的 X-API-KEY 字段，值为 “jieruidashabi”。它会上传设备的系统指纹信息，包括架构、内核版本和用户凭据，帮助攻击者实时绘制感染设备的分布图，并按需部署定制化负载。

Darktrace 还发现 PumaBot 相关的其他恶意二进制文件，包括一个名为 ddaemon 的持久化后门，以及一个名为 networkxm 的组件，负责 SSH 暴力破解和通过 MD5 校验进行自我更新。

另一个关键组件是 installx.sh 脚本，它会修改 Linux 的可插拔认证模块（PAM）认证栈，植入恶意的 pam_unix.so 模块，从而窃取本地及远程登录的凭据。

为实现数据外泄，一个名为 “1” 的文件监控程序会监视存储在隐藏文件 con.txt 中的窃取凭据，并将这些数据（包括 SSH 凭据、系统 IP 地址和端口扫描结果）发送给远程服务器。

研究人员指出：“虽然该僵尸网络不像传统蠕虫那样自动传播，但它通过暴力破解行为表现出类似蠕虫的特征，表明其是一个半自动化的僵尸网络活动，专注于设备入侵与长期控制。