Resumen de la Botnet Pumabot Enfocada en Dispositivos IoT
Introducción
DarkTrace ha identificado una botnet llamada "Pumabot", diseñada con el lenguaje Go y enfocada en dispositivos IoT que utilizan Linux. A diferencia de otros malware que escanean la web en busca de objetivos, Pumabot obtiene una lista de IPs de un servidor de comando y control (C2) y intenta acceder a ellas mediante un ataque de fuerza bruta a través de credenciales SSH. Esta botnet busca establecer persistencia mediante la creación de archivos de servicio en el sistema.
Análisis Técnico
Pumabot ejecuta varios métodos para infiltrarse en los sistemas:
- Acceso Inicial: El malware inicia reconociendo una lista de direcciones IP con puertos SSH abiertos del servidor C2. Luego, intenta iniciar sesión utilizando pares de credenciales recuperados.
- Verificación de Entorno: Antes de ejecutar sus comandos, Pumabot chequea la presencia de ciertos elementos en el entorno para evitar honeypots y contextos de ejecución inadecuados. Esto incluye búsquedas de cadenas específicas como "Pumatronix", que están asociadas con fabricantes de sistemas de vigilancia, lo que sugiere un interés en dispositivos IoT.
- Recolección de Información del Sistema: Al obtener acceso exitoso, ejecuta comandos como
uname -apara recopilar información sobre el sistema, que se envía al C2 en formato JSON.
Persistencia y Mecanismo de Comunicación
Pumabot logra persistencia a través de servicios systemd, eligiendo nombres como redis.service o, erróneamente, mysqI.service. Esto le permite reiniciarse después de un apagón sin ser detectado. Además, agrega su clave SSH al archivo authorized_keys de los usuarios para mantener el acceso incluso si se detiene el servicio.
Funciones Adicionales
Pumabot también incorpora la funcionalidad de CleanKill, un bucle infinito que intenta ejecutar binarios mineros como "XMRIG" y "NetworkXM". Esto sugiere que el malware tiene una finalidad de minado y puede descargar o desempaquetar otros componentes si es necesario.
Otros Binarios Relacionados
DarkTrace encontró más binarios vinculados a Pumabot que parecen ser parte de una campaña más extensa. Entre ellos se encuentran ddaemon, un backdoor que comprueba su propia integridad, y networkxm, que actúa como otra herramienta de fuerza bruta SSH. Ambos binarios crean servicios systemd para asegurar su persistencia.
El script installx.sh se utiliza para descargar otros binarios maliciosos y para modificar componentes críticos de autenticación en el sistema, como el módulo PAM (Pluggable Authentication Module), esencial para el inicio de sesión en sistemas Linux. Esto implica que el malware puede robar credenciales de inicio de sesión, que se almacenan en un archivo llamado con.txt.
Conclusiones
Pumabot representa una amenaza significativa al utilizar métodos automatizados para romper credenciales y ganar acceso a sistemas IoT. Su estrategia de imitar binarios legítimos y evadir detecciones sugiere un enfoque sofisticado y persistente para comprometer dispositivos, aunque no propaga de manera autónoma como un gusano convencional.
Recomendaciones
- Monitorear actividades inusuales de inicio de sesión SSH, especialmente intentos fallidos.
- Auditar los servicios systemd regularmente y revisar los archivos en ubicaciones inusuales.
- Inspeccionar el archivo
authorized_keysen busca de claves SSH desconocidas. - Filtrar solicitudes HTTP salientes con encabezados inusuales.
- Implementar reglas de firewall estrictas para limitar la exposición de SSH.
En resumen, la actividad de Pumabot es un recordatorio de la vulnerabilidad persistente de los dispositivos IoT ante ataques cibernéticos.