近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,攻击者利用思科、华硕、威联通和群晖等公司路由器相关产品的安全漏洞部署PolarEdge后门程序,劫持控制设备,窃取敏感数据,组建僵尸网络。
攻击者通过思科、华硕、威联通和群晖等公司路由器相关设备的安全漏洞(如思科路由器的命令执行漏洞)入侵目标设备,强制受害设备从远程FTP服务器下载Shell脚本。该脚本运行后会立即下载并启动PolarEdge后门程序。一旦植入成功后,PolarEdge会首先执行环境清理,删除wget,重命名curl,以阻断竞争攻击。随即,PolarEdge启动进程隐匿,伪装成igmpproxy等合法的系统进程,并通过mount--bind绑定至保留PID路径(如/proc/1)隐藏进程元数据。同时,PolarEdge通过创建watchdog子进程实现进程守护,每30秒检查父进程状态并在异常时自动重启。在完成后门部署后,PolarEdge将启动隐蔽通信,采用自签名PolarSSL证书及魔术令牌构建TLS加密信道,综合使用PRESENT分组密码动态解密关键代码段,仿射密码(AffineCipher)混淆敏感字符串数据。随后,PolarEdge将通过回连模式投递恶意载荷至/tmp/.qnax.sh执行,实现远程动态控制。
建议相关单位及用户立即组织排查,核验固件数字签名,阻断恶意植入;及时更新设备安全版本、替换停产停服设备。或通过禁用高危服务组件,关闭非必要互联网暴露服务(如UPnP、PhotoStation、远程管理端口),定期离线备份敏感数据等方式防范攻击风险。
PolarEdge后门样本的IOC信息
SHA256:a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082
SHA1:ff1b0a492dd42fc01e1b894b577040927890bc3b
MD5:191be2f2f31efe4a64da5543ed9d0e25
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
