Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Botnetze PolarEdge-Botnetz

PolarEdge-Botnetz

Von Mezo in Botnetze
Übersetzen Sie in:

Sicherheitsforscher haben kürzlich die Funktionsweise einer Router-fokussierten Botnetz-Familie namens PolarEdge entschlüsselt. Die Kombination aus TLS-basierter Kommunikation, eingebetteten Konfigurationstricks und gezielten Anti-Analyse-Maßnahmen macht die Botnet-Familie zu einer ernstzunehmenden Bedrohung für Heimnetzwerke und kleine und mittlere Unternehmen.

Zeitleiste und Entdeckung

Forscher dokumentierten PolarEdge erstmals im Februar 2025 und brachten es mit Kampagnen in Verbindung, die auf Router und NAS-Geräte verschiedener Hersteller abzielten. Bis August 2025 hatten Analysten einen Großteil der Infrastruktur des Botnetzes kartiert und Merkmale beobachtet, die mit einem Netzwerk im Stil einer Operational Relay Box (ORB) übereinstimmten. Retrospektive Telemetriedaten deuten darauf hin, dass einige PolarEdge-Aktivitäten bis in den Juni 2023 zurückreichen könnten.

Ziele und Erstzugriff

Geräte großer Anbieter wie Cisco, ASUS, QNAP und Synology wurden als Ziele identifiziert. Dies verdeutlicht, dass sowohl Router und NAS-Systeme für Unternehmen als auch für Privatkunden der Gefahr einer Ausnutzung ausgesetzt sind.

In den Angriffsketten vom Februar 2025 nutzten Bedrohungsakteure eine bekannte Cisco-Sicherheitslücke (CVE-2023-20118), um ein kleines, per FTP bereitgestelltes Shell-Skript namens „q“ abzurufen. Die Aufgabe dieses Skripts bestand darin, die PolarEdge ELF-Hintertür auf dem kompromittierten Host abzurufen und zu starten.

Kernimplantatdesign

PolarEdge ist ein TLS-fähiges ELF-Implantat, das in erster Linie:

  • Sendet einen Host-Fingerabdruck an einen Command-and-Control-Server (C2) und
  • Wartet auf Befehle über einen integrierten TLS-Server, der mit mbedTLS v2.8.0 implementiert wurde.

Das Implantat fungiert standardmäßig als TLS-Server mit einem benutzerdefinierten Binärprotokoll. Ein wichtiges Protokollfeld ist HasCommand: Wenn dieses Feld dem ASCII-Zeichen 1 entspricht, liest das Implantat das Feld Command, führt den angegebenen Befehl lokal aus und gibt die Rohausgabe des Befehls an C2 zurück.

Betriebsarten

PolarEdge unterstützt zwei zusätzliche Modi:

Connect-Back-Modus : Das Implantat verhält sich wie ein TLS-Client, um Dateien von Remote-Servern abzurufen.

Debug-Modus : Ein interaktiver Modus, der es Bedienern ermöglicht, Konfigurationsparameter (z. B. Serveradressen) im laufenden Betrieb zu ändern.

Eingebettete Konfiguration und Verschleierung

Das Botnetz speichert seine Laufzeitkonfiguration in den letzten 512 Bytes des ELF-Images. Dieser Block ist mit einem ein Byte langen XOR-Block verschleiert. Die Forscher berichten, dass der XOR-Schlüssel 0x11 lautet und angewendet werden muss, um die Konfiguration wiederherzustellen.

Dateivorgänge

Nach der Ausführung führt das Implantat Dateisystemverschiebungen und -entfernungen durch (Beispiele hierfür sind das Verschieben von Binärdateien wie /usr/bin/wget und /sbin/curl sowie das Löschen von Dateien wie /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Die genaue operative Absicht hinter diesen Aktionen ist anhand der verfügbaren Daten nicht vollständig geklärt.

Ausweich- und Anti-Analysetechniken

PolarEdge verfügt über eine Reihe hochentwickelter Abwehrmechanismen, die der Erkennung entgehen und Analysen erschweren sollen. Dadurch wird es für Sicherheitsforscher und automatisierte Tools schwieriger, das Verhalten der Malware zu identifizieren und ihre Funktionsweise zu analysieren.

Es verbirgt Details seiner TLS-Serverinitialisierungs- und Fingerprinting-Routinen durch Verschleierung.

Während des Startvorgangs führt es eine Prozessmaskierung durch, indem es zufällig einen Prozessnamen aus einer integrierten Liste auswählt, um sich in legitime Systemdienste einzufügen.

Einige der möglichen Namen sind:

  • igmpproxy
  • wscd
  • /sbin/dhcpd
  • httpd
  • upnpd
  • iapp

Resilienz ohne klassische Persistenz

PolarEdge scheint keinen herkömmlichen Persistenzmechanismus zu installieren, der Neustarts übersteht. Stattdessen wendet es einen Laufzeittrick an: Es verzweigt sich und der untergeordnete Prozess prüft alle 30 Sekunden, ob das Verzeichnis /proc/ des übergeordneten Prozesses noch existiert. Verschwindet dieses Verzeichnis (was bedeutet, dass der übergeordnete Prozess nicht mehr existiert), führt der untergeordnete Prozess einen Shell-Befehl aus, um die Hintertür neu zu starten. Dadurch wird effektiv eine opportunistische Laufzeitwiederherstellung anstelle einer permanenten Boot-Persistenz erreicht.

Defensive Erkenntnisse

Unternehmen, die Router und NAS-Geräte verwalten, sollten unbedingt Hersteller-Updates und -Maßnahmen für CVE-2023-20118 und ähnliche Remote-Execution-Schwachstellen installieren. Sie sollten aktiv auf ungewöhnliche TLS-Aktivitäten von Netzwerkgeräten und ausgehende Verbindungen zu unerwarteten Hosts achten. Ebenso wichtig ist es, auf Anzeichen von Prozess-Masquerading sowie auf unbefugte Änderungen oder Löschungen von Netzwerk-Binärdateien und webbasierten Skripten zu achten.

 

Im Trend

Am häufigsten gesehen

Wird geladen...