新型Linux僵尸网络RapperBot暴力破解SSH主机
近日,FortiGuard试验室的钻研人员发现了一种新型物联网(IoT)僵尸网络“RapperBot”,自2022年6月中旬以来就不时处于优惠形态。
该僵尸程序从原始Mirai僵尸网络中借用了大局部代码,但与其余IoT恶意软件家族不同,它成功了一种内置性能来暴力破解凭据并取得对SSH主机(而非在Mirai中成功的Telnet)的访问权限。
专家们还留意到,最新的样本包括坚持耐久性的代码,这在其余Mirai变体中很少成功。
RapperBot具备有限的DDoS性能,它旨在针对ARM、MIPS、SPARC和x86架构。
依据FortiGuard试验室颁布的剖析结果指出,
该恶意软件的早期样本将暴力破解凭据列表硬编码到二进制文件中,但从7月开局,新的样本开局从C2主机检索该列表。
自7月中旬以来,RapperBot开局经常使用自我流传模式来维持对暴力破解SSH主机的远程访问。该僵尸网络运转一个shell命令,将远程受益者的“~/.ssh/authorized_keys”交流为蕴含要挟介入者SSH公钥的命令。
一旦将公钥存储在 ~/.ssh/authorized_keys中,任何领有相应私钥的人都可以在不提供明码的状况下验证SSH主机。
RapperBot还能经过在口头时将上述相反的SSH密钥附加到受感化设施的本地“~/.ssh/authorized_keys”上,来坚持其在任何设施上的立足点。这准许该恶意软件经过SSH坚持对这些受感化设施的访问权限,即使是设施重启或从设施中删除RapperBot也无济于事。
该报告补充道,
该僵尸网络的早期版本具备纯文本字符串,但随后的版本经过将字符串构建在堆栈上,为字符串减少了额外的混杂,以回避检测。
数据显示,自6月中旬以来,该僵尸网络经常使用世界3,500多个惟一IP扫描并尝试经常使用SSH-2.0-HELLOWORLD客户端标识字符串暴力破解Linux SSH主机。其中,大少数IP来自美国、台湾和韩国。
最后,钻研人员称,RapperBot的指标仍不清朗。