基于嵌入式Linux的物聯(lián)網(wǎng)（IoT）設(shè)備正成為新型僵尸網(wǎng)絡(luò)PumaBot的攻擊目標(biāo)。

基于Go語(yǔ)言的SSH暴力破解攻擊

該僵尸網(wǎng)絡(luò)采用Go語(yǔ)言編寫(xiě)，專(zhuān)門(mén)針對(duì)SSH服務(wù)實(shí)施暴力破解攻擊以擴(kuò)大規(guī)模，并向受感染主機(jī)投遞其他惡意軟件。網(wǎng)絡(luò)安全公司Darktrace向The Hacker News提供的分析報(bào)告指出："該惡意軟件并非直接掃描互聯(lián)網(wǎng)，而是從命令控制（C2）服務(wù)器獲取目標(biāo)列表后嘗試暴力破解SSH憑證。成功入侵后，它會(huì)接收遠(yuǎn)程指令并通過(guò)系統(tǒng)服務(wù)文件建立持久化駐留。"

該僵尸網(wǎng)絡(luò)通過(guò)針對(duì)開(kāi)放SSH端口的IP地址列表實(shí)施暴力破解獲取初始訪(fǎng)問(wèn)權(quán)限，目標(biāo)IP列表從外部服務(wù)器"ssh.ddos-cc[.]org"獲取。在進(jìn)行暴力破解時(shí)，惡意程序會(huì)執(zhí)行多項(xiàng)檢查以確認(rèn)目標(biāo)系統(tǒng)是否適用且非蜜罐環(huán)境，還會(huì)檢測(cè)字符串"Pumatronix"（某監(jiān)控?cái)z像頭制造商名稱(chēng)）的存在，表明攻擊者可能專(zhuān)門(mén)針對(duì)或排除此類(lèi)設(shè)備。

多重持久化與加密貨幣挖礦

入侵成功后，惡意軟件首先收集系統(tǒng)基礎(chǔ)信息回傳至C2服務(wù)器，隨后建立持久化機(jī)制并執(zhí)行服務(wù)器下發(fā)的指令。Darktrace研究人員發(fā)現(xiàn)："該惡意軟件將自身寫(xiě)入/lib/redis目錄，偽裝成合法的Redis系統(tǒng)文件。隨后在/etc/systemd/system目錄創(chuàng)建名為redis.service或mysqI.service（注意mysql的拼寫(xiě)中被替換為大寫(xiě)字母I）的systemd持久化服務(wù)。"這種設(shè)計(jì)使惡意程序看似合法文件且能抵御系統(tǒng)重啟。

僵尸網(wǎng)絡(luò)執(zhí)行的指令中包含"xmrig"和"networkxm"命令，表明攻擊者利用被控設(shè)備進(jìn)行非法加密貨幣挖礦。值得注意的是，這些命令未指定完整路徑，暗示相關(guān)負(fù)載可能通過(guò)下載或解壓方式部署在受感染主機(jī)的其他位置。

模塊化攻擊組件分析

Darktrace在溯源分析中發(fā)現(xiàn)該行動(dòng)還部署了以下關(guān)聯(lián)組件：

• ddaemon：基于Go的后門(mén)程序，負(fù)責(zé)下載networkxm二進(jìn)制文件至"/usr/src/bao/networkxm"并執(zhí)行installx.sh腳本
• networkxm：SSH暴力破解工具，其功能與僵尸網(wǎng)絡(luò)初始階段類(lèi)似，從C2服務(wù)器獲取密碼列表嘗試連接目標(biāo)IP
• installx.sh：從"1.lusyn[.]xyz"下載jc.sh腳本，賦予全權(quán)限執(zhí)行后清除bash歷史記錄
• jc.sh：用于下載惡意pam_unix.so文件替換系統(tǒng)正版文件，同時(shí)從同一服務(wù)器獲取并執(zhí)行名為"1"的二進(jìn)制程序
• pam_unix.so：充當(dāng)rootkit竊取憑證，會(huì)截獲成功登錄信息寫(xiě)入"/usr/bin/con.txt"
• 1：監(jiān)控"/usr/bin/"目錄下con.txt文件的寫(xiě)入操作，將其內(nèi)容外傳到C2服務(wù)器

防御建議

鑒于該僵尸網(wǎng)絡(luò)具備SSH暴力破解的蠕蟲(chóng)式傳播能力，建議用戶(hù)采取以下防護(hù)措施：

• 監(jiān)控異常SSH登錄活動(dòng)（特別是失敗嘗試）
• 定期審計(jì)systemd服務(wù)
• 檢查authorized_keys文件是否存在未知SSH密鑰
• 配置嚴(yán)格防火墻規(guī)則減少暴露面
• 過(guò)濾含有非常規(guī)HTTP頭部（如X-API-KEY: jieruidashabi）的請(qǐng)求

Darktrace總結(jié)稱(chēng)："該僵尸網(wǎng)絡(luò)展現(xiàn)了基于Go語(yǔ)言的持久化SSH威脅，通過(guò)自動(dòng)化攻擊、憑證暴力破解和濫用Linux原生工具實(shí)現(xiàn)系統(tǒng)控制。其通過(guò)偽裝合法二進(jìn)制文件（如Redis）、濫用systemd實(shí)現(xiàn)持久化、嵌入指紋識(shí)別邏輯規(guī)避蜜罐檢測(cè)等手法，充分體現(xiàn)出規(guī)避防御的明確意圖。"