新型隐蔽 Linux 僵尸网络瞄准物联网设备，规避检测能力

Darktrace网络安全研究人员近日曝光了一款名为PumaBot的新型隐蔽持久型Linux僵尸网络。该恶意程序采用Go语言编译的隐蔽二进制文件，通过SSH暴力破解攻击和定制后门程序专门针对物联网（IoT）设备。僵检测与传统僵尸网络依赖全网扫描的尸网设备嘈杂攻击方式不同
，PumaBot采用更具针对性和隐蔽性的云计算络瞄联网策略 ，使其更难被检测且具备更强的准物抗打击能力
。

精准攻击模式

Darktrace在技术分析报告中指出："该恶意软件并非扫描整个互联网 ，规避而是新型从命令控制（C2）服务器获取目标列表，然后尝试暴力破解SSH凭证。亿华云隐蔽"初始感染阶段，僵检测PumaBot会从C2域名（ssh.ddos-cc[.]org）获取开放SSH端口的尸网设备IP地址列表，随后利用C2提供的络瞄联网凭证进行暴力破解登录 ，并通过环境指纹识别技术规避检测。准物

该恶意程序具有以下显著特征：

执行uname -a命令收集系统信息使用自定义HTTP头X-API-KEY: jieruidashabi伪装成Redis文件写入/lib/redis目录通过systemd服务（redis.service或拼写错误的源码下载规避mysqI.service）实现持久化

研究人员特别指出："恶意软件还会将自身SSH密钥添加到用户的authorized_keys文件中" ，确保即使其服务被移除仍能保持访问权限。新型

模块化攻击组件

Darktrace发现与PumaBot活动相关的多个二进制文件：

(1) ddaemon

基于Go语言的后门程序
，可从db.17kp[.]xyz自动更新 ，高防服务器并安装SSH暴力破解工具networkxm。通过专用systemd服务实现持久化。

(2) networkxm

独立暴力破解工具 ，从同一C2基础设施获取凭证和目标IP
。以无限循环方式运行，通过networkxm.service建立持久性。

(3) jc.sh与PAM Rootkit

恶意程序执行的免费模板bash脚本（jc.sh）具有以下功能 ：

下载恶意版本替换系统的PAM认证模块（pam_unix.so）将窃取的SSH凭证记录到/usr/bin/con.txt使用守护进程二进制文件（1）监控并将窃取数据外传到lusyn[.]xyz

报告披露："该二进制文件作为rootkit  ，通过拦截成功登录来窃取凭证...详细信息存储在/usr/bin/con.txt文件中。"

高级规避技术

PumaBot及其相关载荷展现出高度隐蔽性 
：

伪装成系统二进制文件（如Redis）利用systemd实现持久化通过环境检查绕过基础检测禁用SELinux并修改SSH配置

Darktrace总结称："该僵尸网络代表了一种基于Go语言的持久性SSH威胁...其设计意图明显针对防御规避 。"

源码库