„PumaBot“ botnetas: slapta grėsmė kasdieniams įrenginiams
Table of Contents
Kas yra PumaBot?
„PumaBot“ yra neseniai atrasta kenkėjiškos programinės įrangos rūšis, skirta tyliai užkrėsti „Linux“ pagrindu veikiančius daiktų interneto (IoT) įrenginius. Skirtingai nuo daugelio kitų kenkėjiškų programų atmainų, „PumaBot“ neskenuoja interneto atsitiktinai ieškodama aukų. Vietoj to, ji gauna konkrečius taikinius iš paslėpto nuotolinio serverio, todėl gali veikti tiksliau ir nepatraukti dėmesio.
Botnetas parašytas „Go“ programavimo kalba , kuri žinoma dėl greitų ir efektyvių programų, gerai veikiančių įvairių tipų sistemose, kūrimo. Pagrindinis „PumaBot“ tikslas – perimti pažeidžiamų įrenginių kontrolę, įsilaužiant į juos naudojant silpnus prisijungimo duomenis per SSH – protokolą, naudojamą saugiam ryšiui tarp kompiuterių.
Kaip „PumaBot“ įgyja kontrolę
Ataka prasideda, kai „PumaBot“ prisijungia prie savo komandų centro, kuris pateikia jam IP adresų sąrašą – iš esmės skaitmeninius įrenginių, kuriuos jis nori užkrėsti, namų adresus. Tada jis bando prisijungti prie šių įrenginių naudodamas gautų vartotojo vardų ir slaptažodžių sąrašą. Šis metodas vadinamas „brutaliu priverstiniu įvedimu“, kai robotas greitai bando skirtingus derinius, kol randa tinkamą.
Gavęs prieigą, „PumaBot“ įsirašo save ir užtikrina, kad ji ten liktų net ir paleidus įrenginį iš naujo. Tai daroma nukopijuojant save į sistemos failus ir sukonfigūruojant save taip, kad jis būtų paleistas automatiškai. Šis išsaugojimas yra labai svarbus, nes leidžia užpuolikams išlaikyti kontrolę nereikalaujant iš naujo įsilaužti.
Kas galėtų būti paveiktas?
„PumaBot“ daugiausia dėmesio skiria daiktų interneto įrenginiams – išmaniesiems įtaisams, kurie dažnai negauna tų pačių saugumo atnaujinimų kaip įprasti kompiuteriai. Tai apima tokius dalykus kaip eismo kameros, išmaniųjų namų įrenginiai ir net pramoniniai įrankiai. Tiesą sakant, tyrėjai pastebėjo, kad kenkėjiška programa, atrodo, sukurta taip, kad vengtų tam tikros aplinkos, ir netgi tikrina, ar įrenginys priklauso konkrečiam gamintojui, o tai rodo, kad ji sukurta atsižvelgiant į konkrečius taikinius.
Toks pritaikymo lygis rodo, kad „PumaBot“ yra daugiau nei atsitiktinis chaosas; tai tikslingos pastangos tyliai valdyti tam tikro tipo įrenginius, tikėtina, kad juos bus galima naudoti didesnėje koordinuotoje veikloje be savininkų žinios.
Kodėl tai svarbu
Nors „PumaBot“ neplinta automatiškai kaip virusas iš vieno įrenginio į kitą, jis mėgdžioja kai kuriuos tokius elgesio modelius, nuolat ieškodamas ir atakuodamas naujus taikinius. Tai priskiria jį prie unikalios kategorijos – pusiau automatizuotos grėsmės, kuri derina tikslumą ir mastą.
Pasekmės rimtos. Užkrėtus įrenginį, užpuolikai gali nuotoliniu būdu vykdyti bet kokią komandą, pavyzdžiui, vogti duomenis, šnipinėti įrenginio aplinką arba įtraukti jį į užkrėstų mašinų tinklą (vadinamą botnetu), naudojamą didesnėms kibernetinėms atakoms vykdyti. Šie botnetai gali užvaldyti svetaines, išjungti paslaugas ar netgi būti įrankiu žalingesnėms operacijoms.
Sugedusio įrenginio požymiai
Yra keli būdai patikrinti, ar įrenginį valdo „PumaBot“. Sistemos administratoriai ir techniškai išprusę vartotojai turėtų stebėti neįprastus prisijungimo bandymus, ypač pasikartojančius gedimus, kai prisijungiama per kelis IP adresus, nes tai gali rodyti „brute-force“ veiklą.
Kitas įspėjamasis ženklas yra neįprasti įrašai sistemos paslaugų failuose, ypač tie, kurie imituoja teisėtus įrašus su nedidelėmis rašybos klaidomis. Pavyzdžiui, paslauga pavadinimu „mysqI“, o ne „mysql“, gali būti užmaskuota. Be to, vykdomųjų failų radimas keistose vietose, pavyzdžiui, „Redis“ failas bibliotekos aplanke, turėtų sukelti pavojaus signalą.
Be to, „PumaBot“, bendraudamas su savo komandų serveriu, gali naudoti keistas arba nestandartines interneto antraštes. Išeinančio srauto stebėjimas, ieškant šių neįprastų požymių, gali padėti aptikti infekciją, kol ji nepadarė daugiau žalos.
Kaip apsisaugoti nuo „PumaBot“
Norėdami apsisaugoti nuo tokių grėsmių kaip „PumaBot“, įrenginių savininkai ir tinklo administratoriai turėtų pradėti nuo SSH prieigos apsaugos. Tai apima stiprių, unikalių slaptažodžių naudojimą ir SSH prieigos prie interneto išjungimą, jei tai nėra būtina. Vietoj to, prieiga turėtų būti ribojama naudojant užkardas arba VPN.
Taip pat svarbūs reguliarūs sistemos auditai. Paslaugų konfigūracijų ir įdiegtos programinės įrangos peržiūra gali padėti pastebėti kenkėjiškų programų atliktus pakeitimus. Taip pat patikrinus, ar vartotojų paskyrose nėra neleistinų SSH raktų, galima užkirsti kelią užpuolikams vėliau atgauti prieigą.
Galiausiai, tinklo veiklos stebėjimas ieškant neįprastų modelių, tokių kaip siunčiamos užklausos su keistomis antraštėmis ar nepaaiškinamas duomenų perdavimas, gali suteikti ankstyvus įspėjimus apie infekciją.
Baigiamosios mintys
„PumaBot“ yra moderni kibernetinės grėsmės forma: tyli, apskaičiuota ir galinti atakuoti kasdienius įrenginius. Tikslinis taikymas kartu su slaptais metodais, padedančiais išlikti paslėptiems, kelia sudėtingą grėsmę, ypač prastai apsaugotoje daiktų interneto aplinkoje. Nors ji nepatenka į antraštes kaip kai kurios kitos atakos, jos potencialas sutrikdyti ar išnaudoti prijungtas sistemas yra realus. Geriausia apsauga nuo tokių grėsmių kaip „PumaBot“ yra informuotumo palaikymas ir griežtų saugumo įpročių laikymasis.
