基于嵌入式Linux的物聯(lián)網(wǎng)（IoT）設(shè)備正成為新型僵尸網(wǎng)絡(luò)PumaBot的攻擊目標。

基于Go語言的SSH暴力破解攻擊

該僵尸網(wǎng)絡(luò)采用Go語言編寫，專門針對SSH服務(wù)實施暴力破解攻擊以擴大規(guī)模，并向受感染主機投遞其他惡意軟件。網(wǎng)絡(luò)安全公司Darktrace向The Hacker News提供的分析報告指出："該惡意軟件并非直接掃描互聯(lián)網(wǎng)，而是從命令控制（C2）服務(wù)器獲取目標列表后嘗試暴力破解SSH憑證。成功入侵后，它會接收遠程指令并通過系統(tǒng)服務(wù)文件建立持久化駐留。"

該僵尸網(wǎng)絡(luò)通過針對開放SSH端口的IP地址列表實施暴力破解獲取初始訪問權(quán)限，目標IP列表從外部服務(wù)器"ssh.ddos-cc[.]org"獲取。在進行暴力破解時，惡意程序會執(zhí)行多項檢查以確認目標系統(tǒng)是否適用且非蜜罐環(huán)境，還會檢測字符串"Pumatronix"（某監(jiān)控攝像頭制造商名稱）的存在，表明攻擊者可能專門針對或排除此類設(shè)備。

多重持久化與加密貨幣挖礦

入侵成功后，惡意軟件首先收集系統(tǒng)基礎(chǔ)信息回傳至C2服務(wù)器，隨后建立持久化機制并執(zhí)行服務(wù)器下發(fā)的指令。Darktrace研究人員發(fā)現(xiàn)："該惡意軟件將自身寫入/lib/redis目錄，偽裝成合法的Redis系統(tǒng)文件。隨后在/etc/systemd/system目錄創(chuàng)建名為redis.service或mysqI.service（注意mysql的拼寫中被替換為大寫字母I）的systemd持久化服務(wù)。"這種設(shè)計使惡意程序看似合法文件且能抵御系統(tǒng)重啟。

僵尸網(wǎng)絡(luò)執(zhí)行的指令中包含"xmrig"和"networkxm"命令，表明攻擊者利用被控設(shè)備進行非法加密貨幣挖礦。值得注意的是，這些命令未指定完整路徑，暗示相關(guān)負載可能通過下載或解壓方式部署在受感染主機的其他位置。

模塊化攻擊組件分析

Darktrace在溯源分析中發(fā)現(xiàn)該行動還部署了以下關(guān)聯(lián)組件：

• ddaemon：基于Go的后門程序，負責(zé)下載networkxm二進制文件至"/usr/src/bao/networkxm"并執(zhí)行installx.sh腳本
• networkxm：SSH暴力破解工具，其功能與僵尸網(wǎng)絡(luò)初始階段類似，從C2服務(wù)器獲取密碼列表嘗試連接目標IP
• installx.sh：從"1.lusyn[.]xyz"下載jc.sh腳本，賦予全權(quán)限執(zhí)行后清除bash歷史記錄
• jc.sh：用于下載惡意pam_unix.so文件替換系統(tǒng)正版文件，同時從同一服務(wù)器獲取并執(zhí)行名為"1"的二進制程序
• pam_unix.so：充當rootkit竊取憑證，會截獲成功登錄信息寫入"/usr/bin/con.txt"
• 1：監(jiān)控"/usr/bin/"目錄下con.txt文件的寫入操作，將其內(nèi)容外傳到C2服務(wù)器

防御建議

鑒于該僵尸網(wǎng)絡(luò)具備SSH暴力破解的蠕蟲式傳播能力，建議用戶采取以下防護措施：

• 監(jiān)控異常SSH登錄活動（特別是失敗嘗試）
• 定期審計systemd服務(wù)
• 檢查authorized_keys文件是否存在未知SSH密鑰
• 配置嚴格防火墻規(guī)則減少暴露面
• 過濾含有非常規(guī)HTTP頭部（如X-API-KEY: jieruidashabi）的請求

Darktrace總結(jié)稱："該僵尸網(wǎng)絡(luò)展現(xiàn)了基于Go語言的持久化SSH威脅，通過自動化攻擊、憑證暴力破解和濫用Linux原生工具實現(xiàn)系統(tǒng)控制。其通過偽裝合法二進制文件（如Redis）、濫用systemd實現(xiàn)持久化、嵌入指紋識別邏輯規(guī)避蜜罐檢測等手法，充分體現(xiàn)出規(guī)避防御的明確意圖。"