【安全资讯】新型PumaBot僵尸网络通过暴力破解SSH凭证攻击设备

概要：

近期发现了一种基于Go语言的Linux恶意软件PumaBot，该恶意软件通过暴力破解SSH凭证，针对嵌入式物联网设备进行攻击。PumaBot的攻击方式具有针对性，主要通过从指挥控制（C2）服务器获取特定IP列表，而非广泛扫描互联网，显示出其攻击的精准性。

主要内容：

PumaBot的攻击流程由Darktrace在报告中详细记录，恶意软件从其C2（ssh.ddos-cc.org）获取目标IP列表，并尝试在22端口进行暴力登录。该恶意软件在登录过程中会检查目标设备是否存在“Pumatronix”字符串，暗示其可能专门针对监控摄像头和交通摄像头系统。一旦确认目标，PumaBot会测试获取的凭证，如果成功，它会运行'uname -a'命令获取环境信息，以确保目标设备不是蜜罐。

随后，PumaBot将其主二进制文件（jierui）写入/lib/redis，并安装systemd服务（redis.service），以确保在设备重启后依然保持持久性。它还会将自己的SSH密钥注入到'authorized_keys'文件中，以便在清理过程中仍能保持访问权限。PumaBot可以接收命令进行数据外泄、引入新负载或窃取有助于横向移动的数据。

Darktrace观察到的恶意负载包括自我更新脚本、替换合法的'pam_unix.so'的PAM rootkit，以及持续监控的守护进程（名为“1”）。这些恶意模块会收集本地和远程的SSH登录信息，并将其存储在文本文件中（con.txt），然后通过C2进行外泄。为了掩盖恶意活动，感染主机上的文本文件在外泄后会被清除。PumaBot的规模和成功率尚不明确，但其针对性的攻击方式可能为更深层次的企业网络渗透打开了大门。