• گیلان، رشت
  • شنبه تا پنجشنبه: 8:00 صبح تا 21:00 عصر
  • info@RootNet.ir
ما را دنبال کنید:
Linkedin-in Instagram
021-74391690

بدافزار PolarEdge

بدافزار PolarEdge
24 بازدید

معرفی بدافزار PolarEdge

بدافزار PolarEdge یک کمپین گسترده و پیچیده است که توسط پژوهشگران امنیتی شرکت Sekoia شناسایی شد. این بدافزار دستگاه‌های روتر و NAS از برندهای شناخته‌شده‌ی Cisco، ASUS، QNAP و Synology را آلوده می‌کند تا آن‌ها را به بخشی از یک شبکه‌ی بات‌نت (Botnet) تبدیل کند.

PolarEdge اولین‌بار در فوریه ۲۰۲۵ گزارش شد. بررسی‌ها نشان می‌دهد که هدف نهایی آن ساخت شبکه‌ای توزیع‌شده از دستگاه‌های آلوده است که می‌تواند برای حملات DDoS، استخراج داده، یا تونلینگ مخفی مورد استفاده قرار گیرد. این بدافزار از آسیب‌پذیری‌هایی مانند CVE-2023-20118 در روترهای Cisco برای نفوذ استفاده می‌کند.

نحوه نفوذ و زنجیره حمله (Attack Chain)

PolarEdge از یک زنجیره حمله چندمرحله‌ای استفاده می‌کند که با شناسایی دستگاه‌های در معرض خطر آغاز می‌شود:

  1. شناسایی و اکتشاف: مهاجم با اسکن اینترنت، دستگاه‌هایی را که پورت‌های مدیریتی باز دارند، پیدا می‌کند.

  2. سوءاستفاده از آسیب‌پذیری: با بهره‌گیری از آسیب‌پذیری‌هایی مثل CVE-2023-20118، یک اسکریپت با نام q از طریق FTP روی سیستم دانلود و اجرا می‌شود.

  3. نصب بدافزار: اسکریپت q وظیفه دانلود و اجرای فایل ELF بدافزار PolarEdge را دارد.

  4. برقراری ارتباط با سرور فرماندهی (C2): پس از نصب، بدافزار اطلاعات سیستم را جمع‌آوری و از طریق ارتباط TLS به سرور فرماندهی ارسال می‌کند.

  5. دریافت و اجرای دستور: در این مرحله، PolarEdge آماده اجرای فرمان‌های مهاجم می‌شود و می‌تواند فایل‌ها را تغییر دهد، اطلاعات را سرقت کند یا دستگاه را در اختیار بات‌نت قرار دهد.

معماری و عملکرد بدافزار PolarEdge

PolarEdge یک ایمپلنت ELF مبتنی بر TLS است که در دو حالت کار می‌کند:

  • حالت Client (Connect-Back): بدافزار با اتصال معکوس به سرور C2 فایل یا دستور دریافت می‌کند.

  • حالت Server: بدافزار به‌صورت سرور TLS منتظر اتصال از سوی مهاجم می‌ماند.

پیکربندی ارتباط در انتهای فایل ELF ذخیره می‌شود و با استفاده از رمزگذاری XOR ساده (کلید 0x11) مخفی‌سازی شده است.
در هنگام اجرا، بدافزار اطلاعات سیستمی (host fingerprint) را برای شناسایی ارسال و سپس فرمان‌های جدید را دریافت می‌کند.

جزئیات فنی پروتکل C2:

  • ارتباط مبتنی بر TLS با mbedTLS v2.8.0

  • استفاده از پارامترهای خاص مانند HasCommand و Command

  • در صورت فعال بودن HasCommand=1، فرمان اجرا و خروجی آن به سرور ارسال می‌شود.

روش‌های پنهان‌سازی و ضدتحلیل (Anti-Analysis)

بدافزار PolarEdge برای جلوگیری از شناسایی، از روش‌های متعددی استفاده می‌کند:

  • Masquerading Process: با نام‌های جعلی سیستم مانند dhcpd, httpd, upnpd, igmpproxy اجرا می‌شود.

  • پنهان‌سازی TLS Strings: اطلاعات مرتبط با ارتباط TLS رمزگذاری شده‌اند تا تحلیل معکوس دشوار شود.

  • نظارت بر فرایند والد: هر ۳۰ ثانیه وجود پردازش والد بررسی می‌شود؛ در صورت توقف، بدافزار خود را مجدداً اجرا می‌کند.

  • عدم پایداری دائمی: PolarEdge پس از ریست سیستم پاک می‌شود، اما به‌دلیل وجود اسکریپت نصب مجدد، ممکن است دوباره فعال گردد.

شاخص‌های سازش (IoC)

هشدار: مقادیر دقیق IoC باید از منابع رسمی مانند Sekoia یا Censys دریافت شوند.

  • وجود فایل یا اسکریپت ناشناخته با نام q

  • فعالیت TLS غیرمعمول از دستگاه‌های روتر یا NAS

  • پردازش‌هایی با نام‌های سیستمی ولی رفتار غیرعادی

  • حذف فایل‌های سیستمی در مسیرهایی مانند /share/CACHEDEV1_DATA/.qpkg/

  • ترافیک خروجی به سرورهای ناشناس یا IPهای غیرمحلی

ابزارهای تشخیص و مانیتورینگ

برای شناسایی فعالیت PolarEdge، ابزارهای زیر پیشنهاد می‌شوند:

حوزه امنیتی ابزارهای پیشنهادی
SIEM / همبستگی لاگ Splunk، ELK Stack، Microsoft Sentinel
EDR / XDR CrowdStrike Falcon، Cortex XDR، Defender XDR
NDR / ترافیک شبکه Zeek (Bro)، Corelight، Cisco Secure Analytics
Threat Intelligence VirusTotal، MISP، OpenCTI
تحلیل گرافیکی Grafana، Kibana، Power BI

روش‌های مقابله و پاک‌سازی

برای حذف PolarEdge و جلوگیری از آلودگی مجدد، مراحل زیر توصیه می‌شود:

  1. قرنطینه فوری دستگاه آلوده از شبکه سازمانی.

  2. تهیه نسخه پشتیبان از لاگ‌ها برای تحلیل جرم‌شناسی دیجیتال.

  3. نصب آخرین نسخه فریمور از وب‌سایت رسمی سازنده.

  4. تغییر تمامی رمزهای عبور مدیریتی و حذف حساب‌های پیش‌فرض.

  5. بررسی وجود فایل‌ها یا سرویس‌های ناشناخته در مسیرهای سیستمی.

  6. بازنشانی کامل (Factory Reset) در صورت شک به نفوذ گسترده.

پیشگیری و توصیه‌های امنیتی بلندمدت

  • سرویس‌های غیرضروری (Telnet، FTP، WebAdmin) را غیرفعال کنید.

  • دسترسی مدیریتی را فقط به آدرس‌های IP مشخص محدود نمایید.

  • از سیستم‌های مانیتورینگ لحظه‌ای استفاده کنید تا ترافیک TLS غیرعادی شناسایی شود.

  • به‌روزرسانی فریمور دستگاه‌ها را به‌صورت مرکزی مدیریت کنید.

  • از راهکارهای امنیتی یکپارچه مانند SOAR و Threat Intelligence Feeds بهره ببرید.

چک‌لیست امنیتی مقابله با PolarEdge

ردیف اقدام امنیتی هدف وضعیت
1 به‌روزرسانی فریمور همه‌ی روترها و NASها حذف آسیب‌پذیری‌ها
2 بررسی لاگ‌های TLS و DNS برای اتصالات مشکوک شناسایی رفتار غیرعادی
3 غیرفعال‌سازی سرویس‌های مدیریتی از راه دور کاهش سطح حمله
4 اجرای اسکن دوره‌ای امنیتی با Nmap و Zeek کشف پورت‌های ناامن
5 تعریف فرآیند Incident Response داخلی افزایش آمادگی سازمان

منابع و مراجع

جمع‌بندی

بدافزار PolarEdge نمایانگر نسل جدیدی از تهدیدات سایبری علیه زیرساخت‌های شبکه‌ای است که به‌صورت مستقیم به دستگاه‌های لبه‌ای مانند روترها و NAS حمله می‌کنند.
ماهیت ماژولار، ارتباط TLS رمزگذاری‌شده و قابلیت‌های ضدتحلیل، این بدافزار را به تهدیدی خطرناک برای سازمان‌های کوچک و متوسط تبدیل کرده است.

سازمان‌هایی که تجهیزات شبکه‌ی متنوع دارند باید با رویکردی پیش‌دستانه (Proactive) و با بهره‌گیری از مانیتورینگ مداوم، به‌روزرسانی سریع، و اشتراک تهدیدات (Threat Intelligence Sharing) از بروز چنین حملاتی جلوگیری کنند.

Post Views: 28

مرتبط پست

Mean Time to

129 بازدید

Apple Vision Pro:

115 بازدید

هشدار ساتیا نادلا:

113 بازدید

دیدگاه ها بسته هستند