Darktrace網(wǎng)絡(luò)安全研究人員近日曝光了一款名為PumaBot的隱蔽持久型Linux僵尸網(wǎng)絡(luò)。該惡意程序采用Go語言編譯的二進(jìn)制文件，通過SSH暴力破解攻擊和定制后門程序?qū)ｉT針對物聯(lián)網(wǎng)（IoT）設(shè)備。與傳統(tǒng)僵尸網(wǎng)絡(luò)依賴全網(wǎng)掃描的嘈雜攻擊方式不同，PumaBot采用更具針對性和隱蔽性的策略，使其更難被檢測且具備更強(qiáng)的抗打擊能力。

精準(zhǔn)攻擊模式

Darktrace在技術(shù)分析報告中指出："該惡意軟件并非掃描整個互聯(lián)網(wǎng)，而是從命令控制（C2）服務(wù)器獲取目標(biāo)列表，然后嘗試暴力破解SSH憑證。"初始感染階段，PumaBot會從C2域名（ssh.ddos-cc[.]org）獲取開放SSH端口的IP地址列表，隨后利用C2提供的憑證進(jìn)行暴力破解登錄，并通過環(huán)境指紋識別技術(shù)規(guī)避檢測。

該惡意程序具有以下顯著特征：

• 執(zhí)行uname -a命令收集系統(tǒng)信息
• 使用自定義HTTP頭X-API-KEY: jieruidashabi
• 偽裝成Redis文件寫入/lib/redis目錄
• 通過systemd服務(wù)（redis.service或拼寫錯誤的mysqI.service）實(shí)現(xiàn)持久化

研究人員特別指出："惡意軟件還會將自身SSH密鑰添加到用戶的authorized_keys文件中"，確保即使其服務(wù)被移除仍能保持訪問權(quán)限。

模塊化攻擊組件

Darktrace發(fā)現(xiàn)與PumaBot活動相關(guān)的多個二進(jìn)制文件：

(1) ddaemon

基于Go語言的后門程序，可從db.17kp[.]xyz自動更新，并安裝SSH暴力破解工具networkxm。通過專用systemd服務(wù)實(shí)現(xiàn)持久化。

(2) networkxm

獨(dú)立暴力破解工具，從同一C2基礎(chǔ)設(shè)施獲取憑證和目標(biāo)IP。以無限循環(huán)方式運(yùn)行，通過networkxm.service建立持久性。

(3) jc.sh與PAM Rootkit

惡意程序執(zhí)行的bash腳本（jc.sh）具有以下功能：

• 下載惡意版本替換系統(tǒng)的PAM認(rèn)證模塊（pam_unix.so）
• 將竊取的SSH憑證記錄到/usr/bin/con.txt
• 使用守護(hù)進(jìn)程二進(jìn)制文件（1）監(jiān)控并將竊取數(shù)據(jù)外傳到lusyn[.]xyz

報告披露："該二進(jìn)制文件作為rootkit，通過攔截成功登錄來竊取憑證...詳細(xì)信息存儲在/usr/bin/con.txt文件中。"

高級規(guī)避技術(shù)

PumaBot及其相關(guān)載荷展現(xiàn)出高度隱蔽性：

• 偽裝成系統(tǒng)二進(jìn)制文件（如Redis）
• 利用systemd實(shí)現(xiàn)持久化
• 通過環(huán)境檢查繞過基礎(chǔ)檢測
• 禁用SELinux并修改SSH配置

Darktrace總結(jié)稱："該僵尸網(wǎng)絡(luò)代表了一種基于Go語言的持久性SSH威脅...其設(shè)計意圖明顯針對防御規(guī)避。"