PumaBot ботнет: атаки на IoT-пристрої відеоспостереження
PumaBot: новий ботнет, який атакує IoT-пристрої відеоспостереження
Компанія Darktrace виявила новий ботнет на основі мови Go під назвою PumaBot. Він націлений на пристрої Інтернету речей (IoT) та уникає сканування, використовуючи C2-сервер для отримання цілей, а потім застосовує брутфорс-атаки для викрадення SSH-облікових даних.
Як працює PumaBot
PumaBot отримує список цілей від командно-контрольного сервера та встановлює постійну присутність за допомогою системних сервісних файлів. Цей підхід відрізняється від традиційних методів мережевого сканування.
Після збору списку IP-адрес IoT-пристроїв з відкритими SSH-портами, ботнет ідентифікує дійсну пару облікових даних SSH, входить у систему, самостійно розгортається та починає процес реплікації.
Механізм перевірки та маскування
PumaBot використовує функцію trySSHLogin() для перевірки середовища, щоб уникнути потрапляння в пастки або середовища виконання, які не підходять для його потреб. Зокрема, він перевіряє наявність обмежених оболонок.
Якщо середовище проходить перевірки, шкідливе ПЗ виконує команду uname -a для визначення типу операційної системи, версії ядра та архітектури. Після цього воно маскується під легітимний системний файл Redis, створює systemd-службу та додає власні SSH-ключі до файлу authorized_keys користувача.
Особливості поведінки ботнету
Хоча PumaBot не поширюється автоматично як традиційний черв’як, він демонструє поведінку, подібну до черв’яка. Він здатний реплікуватися на нові пристрої, використовуючи централізоване керування.
За даними Darktrace, важливо відстежувати аномальну активність входу через SSH, перевіряти systemd-служби та файл authorized_keys. Також необхідно фільтрувати або сповіщати про вихідні HTTP-запити з нестандартними заголовками (наприклад, X-API-KEY) та застосовувати суворі правила брандмауера для обмеження доступу через SSH.
Рекомендації щодо захисту
Експерти з безпеки рекомендують кілька заходів для захисту від PumaBot:
- Регулярно моніторити активність SSH-входів
- Проводити аудит systemd-сервісів
- Перевіряти файл authorized_keys на наявність підозрілих ключів
- Налаштувати фільтрацію нестандартних HTTP-заголовків
- Впровадити суворі правила брандмауера для обмеження SSH-доступу
Оскільки PumaBot орієнтований на IoT-пристрої відеоспостереження, власникам таких систем слід бути особливо пильними та застосовувати ці захисні заходи, щоб запобігти зараженню.
Більше інформації про PumaBot та його технічні особливості можна знайти на офіційному блозі Darktrace, де дослідники детально описують виявлену загрозу та методи захисту від неї.
