新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备

admin 2025年6月10日17:01:24评论20 views字数 1129阅读3分45秒阅读模式
新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备

一种新发现的基于Go的Linux僵尸网络恶意软件名为PumaBot,它通过暴力破解嵌入式物联网设备上的SSH凭证来部署恶意负载。

PumaBot 的针对性也体现在它根据从命令和控制 (C2) 服务器获取的列表针对特定的 IP 地址,而不是对互联网进行广泛的扫描。

新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备
瞄准监控摄像头

Darktrace在一份报告中记录了PumaBot,该报告概述了僵尸网络的攻击流程、入侵指标(IoCs)和检测规则。恶意软件从其C2 (ssh.ddos-cc.org)接收目标ip列表,并试图在端口22上执行暴力登录尝试以开放SSH访问。

在这个过程中,它会检查“Pumatronix”字符串的存在,这可能与供应商的监控和交通摄像头系统的目标相对应。

一旦目标被建立,恶意软件就会接收凭证来针对它们进行测试。如果成功,它运行‘uname -a’来获取环境信息并验证目标设备不是蜜罐。

接下来,它将它的主二进制文件(jierui)写入/lib/redis,并安装一个systemd服务(redis.service),以确保设备重启时的持久性。

最后,它将自己的SSH注入到“authorized_keys”文件中以保持访问,即使在清除了主要感染的情况下也是如此。

当感染处于活跃状态时,PumaBot可以接收命令,试图窃取数据,引入新的有效载荷,或窃取横向移动中有用的数据。

Darktrace看到的有效负载示例包括自我更新脚本、PAM rootkit(替换合法的“pam_unix”)。所以'和daemons(二进制文件“1”)。

恶意PAM模块获取本地和远程SSH登录详细信息,并将其存储在一个文本文件(con.txt)中。“监视者”二进制文件(1)不断查找该文本文件,然后将其泄露到C2。

新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备

在文本文件上写入凭据

在泄漏之后,文本文件将从受感染的主机上擦除,以删除恶意活动的任何痕迹。PumaBot的规模和成功概率目前尚不清楚,也没有资料提到目标IP列表有多广泛。

这种新型僵尸网络恶意软件的特别之处在于,它不是直接利用受感染的物联网进行分布式拒绝服务(DoS)攻击或代理网络等低级网络犯罪,而是发起有针对性的攻击,从而为企业网络的深入渗透开辟了道路。

为了防御僵尸网络威胁,建议将物联网升级到最新可用的固件版本,更改默认凭据,将它们置于防火墙之后,并将它们与有价值的系统隔离在单独的网络中。

参考及来源:https://www.bleepingcomputer.com/news/security/new-pumabot-botnet-brute-forces-ssh-credentials-to-breach-devices/

新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备
新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备

原文始发于微信公众号(嘶吼专业版):新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月10日17:01:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新的PumaBot僵尸网络暴力破解SSH凭据以破坏设备https://cn-sec.com/archives/4152434.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息