新PumaBot恶意软件瞄准Linux物联网监控设备

Darktrace研究人员发现名为PumaBot的新型僵尸网络正针对基于Linux的物联网设备，通过SSH暴力攻击窃取凭证、传播恶意软件并挖掘加密货币。

该恶意软件跳过常规互联网扫描，转而从C2服务器获取目标列表实施SSH暴力破解。入侵成功后，它会执行远程命令并通过创建系统服务文件实现持久化驻留。研究人员通过分析其核心功能及相关二进制文件，进一步揭示了该攻击活动的运作机制。

PumaBot是基于Go语言开发的僵尸网络，通过从C2服务器获取IP列表暴力破解SSH凭证进行传播。入侵后会部署自身载荷，收集系统信息并以带有独特标头（X-API-KEY: jieruidashabi）的JSON格式回传数据。其将自身隐藏于/lib/redis目录，伪造systemd服务并添加SSH密钥实现持久化。该恶意软件会运行xmrig等加密货币挖矿程序，相关组件（如ddaemon和networkxm）通过支持更新和辅助暴力破解来扩大攻击范围。

Darktrace发布的报告指出："恶意软件首先通过getIPs()函数从C2服务器（ssh.ddos-cc[.]org）获取可能开放SSH端口的设备IP列表，随后使用同样从C2获取的凭证组合（通过readLinesFromURL()、brute()和trySSHLogin()函数）对22端口发起暴力破解。在trySSHLogin()函数中，恶意程序会执行多项环境指纹检测，用于规避蜜罐和受限执行环境（如受限制的shell）。"

该恶意软件在SSH暴力破解过程中采用了智能规避策略：通过环境检查规避蜜罐或受限系统，并特别检测"Pumatronix"字符串（某监控摄像头制造商名称），暗示其针对物联网设备或试图绕过特定设备。

报告强调："值得注意的是，恶意软件会检测'Pumatronix'字符串的存在——这是一家监控和交通摄像头系统制造商，表明其可能专门针对物联网设备或试图规避特定设备。"

通过环境检测后，PumaBot会收集系统信息回传C2服务器，并伪装成Redis文件配合systemd服务实现持久化。研究人员还发现了其他关联二进制文件，表明该僵尸网络可能是针对Linux系统大规模协同攻击的一部分。

总结来看，该僵尸网络通过暴力破解凭证、伪装合法工具（如Redis）及利用systemd实现隐蔽驻留，构成持续性SSH威胁。其环境指纹识别可规避蜜罐，虽不具备完全自我传播能力，但通过类蠕虫行为展现了以设备入侵和长期控制为目标的半自动化攻击特性。

报告总结道："这个基于Go语言的僵尸网络通过自动化凭证爆破和原生Linux工具获取并维持对受害系统的控制。虽然不像传统蠕虫那样自动传播，但其通过暴力破解目标表现出的类蠕虫行为，表明这是一个专注于设备入侵和长期访问的半自动化僵尸网络活动。"

防护建议：