Un nou botnet denumit „PumaBot” vizează dispozitivele de supraveghere IoT bazate pe Linux și poate rezista unui reboot prin folosirea unor fișiere ale serviciilor de sistem.
Spre deosebire de alte botneturi care scanează internetul în căutarea țintelor, PumaBot (scris în Golang) primește o listă de adrese IP de la un server de comandă și control (C2) și încearcă compromiterea lor prin forțarea credențialelor SSH.
Odată obținut accesul, malware-ul execută comenzi de la distanță și își asigură persistența pe sistem.
Prin evitarea metodelor tradiționale de căutare a echipamentelor ce ar putea fi compromise și folosirea unei liste predefinite de adrese IP, PumaBot devine mai greu de detectat.
Experții companiei de securitate cibernetică Darktrace au analizat malware-ul și au descoperit funcția trySSHLogin() responsabilă atât pentru descărcarea perechilor de credențiale pentru forțarea logării, cât și pentru a determina tipul dispozitivului compromis.
Rezistență la reboot
Specific, PumaBot caută prezența string-ului Pumatronix, ceea ce indică vizarea anumitor dispozitive, și anume echipamente de supraveghere video a traficului rutier.
În general, malware-ul pe dispozitivele IoT poate fi eliminat prin repornirea sistemului. Conform raportului Darktrace, însă, PumaBot reușește să obțină persistență pe sistem prin crearea unui serviciu systemd care poate supraviețui unui reboot.
Două din comenzile pe care malware-ul le execută pe sistemele infectate sunt ‘xmrig’ și ‘networkxm’, folosite cel mai probabil pentru instalarea unui utilitar pentru minat criptomonede și pentru propagare.
Darktrace a observat descărcarea unor payload-uri precum scripturi de actualizare a malware-ului, daemons și un rootkit care înlocuiește binarul legitim pentru Linux Pluggable Authentication Modules (PAM) și permite interceptarea credentialelor de logare ale utilizatorilor.
Datele interceptate în acest fel includ toate conturile autentificate prin modulul PAM, atât locale cât și la distanță prin SSH, explică experții Darktrace.
Recomandări de protecție
Utilizatorii de dispozitive IoT, în special cei care folosesc camere de supraveghere și alte echipamente similare, sunt sfătuiți să-și securizeze dispozitivele prin schimbarea parolelor implicite și actualizarea regulată a firmware-ului.
Pentru a preveni astfel de atacuri, este esențial să se implementeze măsuri robuste de securitate, inclusiv utilizarea parolelor puternice, actualizarea constantă a software-ului și monitorizarea traficului de rețea pentru activități suspecte.
Într-un raport tehnic publicat ieri, Darktrace oferă un set de recomandări pentru detectarea infecțiilor PumaBot, precum indicatori de compromitere și o regulă YARA creată de compania Cado Security pentru identificarea acestui malware pe sistemele IoT vizate.
