新型隐蔽 Linux 僵尸网络瞄准物联网设备，规避检测能力

Darktrace网络安全研究人员近日曝光了一款名为PumaBot的新型隐蔽持久型Linux僵尸网络
。该恶意程序采用Go语言编译的隐蔽二进制文件 ，通过SSH暴力破解攻击和定制后门程序专门针对物联网（IoT）设备。僵检测与传统僵尸网络依赖全网扫描的尸网设备嘈杂攻击方式不同，PumaBot采用更具针对性和隐蔽性的免费模板络瞄联网策略，使其更难被检测且具备更强的准物抗打击能力。

Darktrace在技术分析报告中指出："该恶意软件并非扫描整个互联网，规避而是新型从命令控制（C2）服务器获取目标列表，然后尝试暴力破解SSH凭证 。亿华云隐蔽"初始感染阶段，僵检测PumaBot会从C2域名（ssh.ddos-cc[.]org）获取开放SSH端口的尸网设备IP地址列表，随后利用C2提供的络瞄联网凭证进行暴力破解登录，并通过环境指纹识别技术规避检测。准物

该恶意程序具有以下显著特征 ：

研究人员特别指出："恶意软件还会将自身SSH密钥添加到用户的authorized_keys文件中"，确保即使其服务被移除仍能保持访问权限。新型

Darktrace发现与PumaBot活动相关的多个二进制文件：

(1) ddaemon

基于Go语言的后门程序 ，可从db.17kp[.]xyz自动更新 ，模板下载并安装SSH暴力破解工具networkxm 。通过专用systemd服务实现持久化。

(2) networkxm

独立暴力破解工具，从同一C2基础设施获取凭证和目标IP 。以无限循环方式运行
，通过networkxm.service建立持久性。

(3) jc.sh与PAM Rootkit

恶意程序执行的建站模板bash脚本（jc.sh）具有以下功能 ：

报告披露："该二进制文件作为rootkit ，通过拦截成功登录来窃取凭证...详细信息存储在/usr/bin/con.txt文件中
。"

PumaBot及其相关载荷展现出高度隐蔽性：

Darktrace总结称 ："该僵尸网络代表了一种基于Go语言的持久性SSH威胁...其设计意图明显针对防御规避 。"

最新评论