最近,FortiGuard实验室的研究人员发现了一种名为“RapperBot”的新型物联网(IoT)僵尸网络,该僵尸网络自2022年6月中旬以来一直活跃。该僵尸程序借用了其大部分代码来自最初的Mirai僵尸网络,但与其他IoT恶意软件系列不同,它实现了一种内置功能,可以暴力破解凭据并获得对SSH服务器(而不是Mirai中实现的Telnet)的访问权限。专家还注意到,最新的样本中包含了保持持久性的代码,这在其他Mirai变体中很少实现。RapperBot具有有限的DDoS功能,它旨在针对ARM、MIPS、SPARC和x86架构。根据FortiGuardLabs发布的分析,“与大多数Mirai变体(使用默认密码或弱密码来暴力破解Telnet服务器)不同,RapperBot专门扫描并尝试暴力破解配置为‘接受密码身份验证’的SSH服务器。它的大部分恶意软件代码包含一个SSH2.0客户端的实现,该客户端可以连接到任何支持使用768位或2048位密钥交换Diffie-Hellmann密钥并使用AES128-CTR数据加密的SSH服务器并对其进行暴力破解。RapperBot暴力实施一个显着特征是在SSH协议交换阶段使用“SSH-2.0-HELLOWORLD”向目标SSH服务器标识自己,但从7月开始,新样本开始从C2服务器检索列表。自7月中旬以来,RapperBot一直使用自我传播来维持对暴力SSH服务器的远程访问。僵尸网络运行一个shell命令,替换远程受害者的“~/.ssh/authorized_keys”和包含威胁参与者的SSH公钥的命令。一旦公钥存储在~/.ssh/authorized_keys中,任何拥有相应私钥的人都可以在不提供密码的情况下向SSH服务器进行身份验证.RapperBot还能够通过在执行时将上述相同的SSH密钥附加到受感染设备的本地“~/.ssh/authorized_keys”来在任何设备上保持立足点。这允许恶意软件主通过SSH访问这些受感染的设备,即使设备重新启动或RapperBot从设备中删除也是如此。该报告补充说,“在最新的RapperBot样本中,恶意软件还开始通过直接写入‘/etc/passwd’和‘/etc/shadow/’将根用户‘suhelper’添加到受感染的设备,进一步允许攻击者完全控制设备。同时,它还通过编写脚本“/etc/cron.hourly/0”每小时添加root用户帐户,以防其他用户(或僵尸网络)尝试将其从受害者系统帐户。”僵尸网络的早期版本有纯文本字符串,但后续版本通过在堆栈顶部构建它们来对字符串添加额外的混淆以逃避检测。数据显示,自6月中旬以来,僵尸网络已使用了3,500多个独特的IP围绕world使用SSH-2.0-HELLOWORLD客户端标识字符串扫描并尝试暴力破解LinuxSSH服务器。其中,大多数IP来自美国、台湾和韩国。最终,研究人员表示,RapperBot的目标仍不明朗。
