Darktrace網絡安全研究人員近日曝光了一款名為PumaBot的隱蔽持久型Linux僵尸網絡。該惡意程序采用Go語言編譯的二進制文件，通過SSH暴力破解攻擊和定制后門程序專門針對物聯網（IoT）設備。與傳統僵尸網絡依賴全網掃描的嘈雜攻擊方式不同，PumaBot采用更具針對性和隱蔽性的策略，使其更難被檢測且具備更強的抗打擊能力。

精準攻擊模式

Darktrace在技術分析報告中指出："該惡意軟件并非掃描整個互聯網，而是從命令控制（C2）服務器獲取目標列表，然后嘗試暴力破解SSH憑證。"初始感染階段，PumaBot會從C2域名（ssh.ddos-cc[.]org）獲取開放SSH端口的IP地址列表，隨后利用C2提供的憑證進行暴力破解登錄，并通過環境指紋識別技術規避檢測。

該惡意程序具有以下顯著特征：

• 執行uname -a命令收集系統信息
• 使用自定義HTTP頭X-API-KEY: jieruidashabi
• 偽裝成Redis文件寫入/lib/redis目錄
• 通過systemd服務（redis.service或拼寫錯誤的mysqI.service）實現持久化

研究人員特別指出："惡意軟件還會將自身SSH密鑰添加到用戶的authorized_keys文件中"，確保即使其服務被移除仍能保持訪問權限。

模塊化攻擊組件

Darktrace發現與PumaBot活動相關的多個二進制文件：

(1) ddaemon

基于Go語言的后門程序，可從db.17kp[.]xyz自動更新，并安裝SSH暴力破解工具networkxm。通過專用systemd服務實現持久化。

(2) networkxm

獨立暴力破解工具，從同一C2基礎設施獲取憑證和目標IP。以無限循環方式運行，通過networkxm.service建立持久性。

(3) jc.sh與PAM Rootkit

惡意程序執行的bash腳本（jc.sh）具有以下功能：

• 下載惡意版本替換系統的PAM認證模塊（pam_unix.so）
• 將竊取的SSH憑證記錄到/usr/bin/con.txt
• 使用守護進程二進制文件（1）監控并將竊取數據外傳到lusyn[.]xyz

報告披露："該二進制文件作為rootkit，通過攔截成功登錄來竊取憑證...詳細信息存儲在/usr/bin/con.txt文件中。"

高級規避技術

PumaBot及其相關載荷展現出高度隱蔽性：

• 偽裝成系統二進制文件（如Redis）
• 利用systemd實現持久化
• 通過環境檢查繞過基礎檢測
• 禁用SELinux并修改SSH配置

Darktrace總結稱："該僵尸網絡代表了一種基于Go語言的持久性SSH威脅...其設計意圖明顯針對防御規避。"