基于嵌入式Linux的物聯網（IoT）設備正成為新型僵尸網絡PumaBot的攻擊目標。

基于Go語言的SSH暴力破解攻擊

該僵尸網絡采用Go語言編寫，專門針對SSH服務實施暴力破解攻擊以擴大規模，并向受感染主機投遞其他惡意軟件。網絡安全公司Darktrace向The Hacker News提供的分析報告指出："該惡意軟件并非直接掃描互聯網，而是從命令控制（C2）服務器獲取目標列表后嘗試暴力破解SSH憑證。成功入侵后，它會接收遠程指令并通過系統服務文件建立持久化駐留。"

該僵尸網絡通過針對開放SSH端口的IP地址列表實施暴力破解獲取初始訪問權限，目標IP列表從外部服務器"ssh.ddos-cc[.]org"獲取。在進行暴力破解時，惡意程序會執行多項檢查以確認目標系統是否適用且非蜜罐環境，還會檢測字符串"Pumatronix"（某監控攝像頭制造商名稱）的存在，表明攻擊者可能專門針對或排除此類設備。

多重持久化與加密貨幣挖礦

入侵成功后，惡意軟件首先收集系統基礎信息回傳至C2服務器，隨后建立持久化機制并執行服務器下發的指令。Darktrace研究人員發現："該惡意軟件將自身寫入/lib/redis目錄，偽裝成合法的Redis系統文件。隨后在/etc/systemd/system目錄創建名為redis.service或mysqI.service（注意mysql的拼寫中被替換為大寫字母I）的systemd持久化服務。"這種設計使惡意程序看似合法文件且能抵御系統重啟。

僵尸網絡執行的指令中包含"xmrig"和"networkxm"命令，表明攻擊者利用被控設備進行非法加密貨幣挖礦。值得注意的是，這些命令未指定完整路徑，暗示相關負載可能通過下載或解壓方式部署在受感染主機的其他位置。

模塊化攻擊組件分析

Darktrace在溯源分析中發現該行動還部署了以下關聯組件：

• ddaemon：基于Go的后門程序，負責下載networkxm二進制文件至"/usr/src/bao/networkxm"并執行installx.sh腳本
• networkxm：SSH暴力破解工具，其功能與僵尸網絡初始階段類似，從C2服務器獲取密碼列表嘗試連接目標IP
• installx.sh：從"1.lusyn[.]xyz"下載jc.sh腳本，賦予全權限執行后清除bash歷史記錄
• jc.sh：用于下載惡意pam_unix.so文件替換系統正版文件，同時從同一服務器獲取并執行名為"1"的二進制程序
• pam_unix.so：充當rootkit竊取憑證，會截獲成功登錄信息寫入"/usr/bin/con.txt"
• 1：監控"/usr/bin/"目錄下con.txt文件的寫入操作，將其內容外傳到C2服務器

防御建議

鑒于該僵尸網絡具備SSH暴力破解的蠕蟲式傳播能力，建議用戶采取以下防護措施：

• 監控異常SSH登錄活動（特別是失敗嘗試）
• 定期審計systemd服務
• 檢查authorized_keys文件是否存在未知SSH密鑰
• 配置嚴格防火墻規則減少暴露面
• 過濾含有非常規HTTP頭部（如X-API-KEY: jieruidashabi）的請求

Darktrace總結稱："該僵尸網絡展現了基于Go語言的持久化SSH威脅，通過自動化攻擊、憑證暴力破解和濫用Linux原生工具實現系統控制。其通過偽裝合法二進制文件（如Redis）、濫用systemd實現持久化、嵌入指紋識別邏輯規避蜜罐檢測等手法，充分體現出規避防御的明確意圖。"