关于防范PolarEdge僵尸网络的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者利用思科、华硕、威联通和群晖等公司路由器相关产品的安全漏洞部署PolarEdge后门程序，劫持控制设备，窃取敏感数据，组建僵尸网络。

    攻击者通过思科、华硕、威联通和群晖等公司路由器相关设备的安全漏洞（如思科路由器的命令执行漏洞）入侵目标设备，强制受害设备从远程FTP服务器下载Shell脚本。该脚本运行后会立即下载并启动PolarEdge后门程序。一旦植入成功后，PolarEdge会首先执行环境清理，删除wget，重命名curl，以阻断竞争攻击。随即，PolarEdge启动进程隐匿，伪装成igmpproxy等合法的系统进程，并通过mount--bind绑定至保留PID路径（如/proc/1）隐藏进程元数据。同时，PolarEdge通过创建watchdog子进程实现进程守护，每30秒检查父进程状态并在异常时自动重启。在完成后门部署后，PolarEdge将启动隐蔽通信，采用自签名PolarSSL证书及魔术令牌构建TLS加密信道，综合使用PRESENT分组密码动态解密关键代码段，仿射密码（AffineCipher）混淆敏感字符串数据。随后，PolarEdge将通过回连模式投递恶意载荷至/tmp/.qnax.sh执行，实现远程动态控制。

    建议相关单位及用户立即组织排查，核验固件数字签名，阻断恶意植入；及时更新设备安全版本、替换停产停服设备。或通过禁用高危服务组件，关闭非必要互联网暴露服务（如UPnP、PhotoStation、远程管理端口），定期离线备份敏感数据等方式防范攻击风险。

PolarEdge后门样本的IOC信息

SHA256：a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082

SHA1：ff1b0a492dd42fc01e1b894b577040927890bc3b

MD5：191be2f2f31efe4a64da5543ed9d0e25