新型隐蔽 Linux 僵尸网络瞄准物联网设备，规避检测能力

2025-11-26 21:40:11分类：数据库阅读(7912)

Darktrace网络安全研究人员近日曝光了一款名为PumaBot的新型隐蔽持久型Linux僵尸网络。该恶意程序采用Go语言编译的隐蔽二进制文件，通过SSH暴力破解攻击和定制后门程序专门针对物联网（IoT）设备。僵检测与传统僵尸网络依赖全网扫描的尸网设备嘈杂攻击方式不同，PumaBot采用更具针对性和隐蔽性的高防服务器络瞄联网策略，使其更难被检测且具备更强的准物抗打击能力。

精准攻击模式

Darktrace在技术分析报告中指出："该恶意软件并非扫描整个互联网，规避而是新型从命令控制（C2）服务器获取目标列表，然后尝试暴力破解SSH凭证。免费模板隐蔽"初始感染阶段，僵检测PumaBot会从C2域名（ssh.ddos-cc[.]org）获取开放SSH端口的尸网设备IP地址列表，随后利用C2提供的络瞄联网凭证进行暴力破解登录，并通过环境指纹识别技术规避检测。准物

该恶意程序具有以下显著特征：

执行uname -a命令收集系统信息使用自定义HTTP头X-API-KEY: jieruidashabi伪装成Redis文件写入/lib/redis目录通过systemd服务（redis.service或拼写错误的亿华云规避mysqI.service）实现持久化

研究人员特别指出："恶意软件还会将自身SSH密钥添加到用户的authorized_keys文件中" ，确保即使其服务被移除仍能保持访问权限。新型

模块化攻击组件

Darktrace发现与PumaBot活动相关的多个二进制文件：

(1) ddaemon

基于Go语言的后门程序，可从db.17kp[.]xyz自动更新，模板下载并安装SSH暴力破解工具networkxm。通过专用systemd服务实现持久化。

(2) networkxm

独立暴力破解工具，从同一C2基础设施获取凭证和目标IP 。以无限循环方式运行，通过networkxm.service建立持久性。

(3) jc.sh与PAM Rootkit

恶意程序执行的服务器租用bash脚本（jc.sh）具有以下功能：

下载恶意版本替换系统的PAM认证模块（pam_unix.so）将窃取的SSH凭证记录到/usr/bin/con.txt使用守护进程二进制文件（1）监控并将窃取数据外传到lusyn[.]xyz