近日，F(xiàn)ortiGuard實驗室的研究人員發(fā)現(xiàn)了一種新型物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡(luò)“RapperBot”，自2022年6月中旬以來就一直處于活動狀態(tài)。

該僵尸程序從原始Mirai僵尸網(wǎng)絡(luò)中借用了大部分代碼，但與其他IoT惡意軟件家族不同，它實現(xiàn)了一種內(nèi)置功能來暴力破解憑據(jù)并獲得對SSH服務(wù)器（而非在Mirai中實現(xiàn)的Telnet）的訪問權(quán)限。

專家們還注意到，最新的樣本包括保持持久性的代碼，這在其他Mirai變體中很少實現(xiàn)。

RapperBot具有有限的DDoS功能，它旨在針對ARM、MIPS、SPARC和x86架構(gòu)。

根據(jù)FortiGuard實驗室發(fā)布的分析結(jié)果指出，

“與大多數(shù)Mirai變體（使用默認或弱密碼暴力破解Telnet服務(wù)器）不同，RapperBot專門掃描并嘗試暴力破解配置為‘接受密碼身份驗證’的SSH服務(wù)器。其大部分惡意軟件代碼包含一個SSH 2.0客戶端的實現(xiàn)，可以連接和暴力破解任何支持Diffie-Hellmann密鑰交換的768位或2048位密鑰以及使用AES128-CTR數(shù)據(jù)加密的SSH服務(wù)器。RapperBot暴力破解實現(xiàn)的一個顯著特征是在SSH協(xié)議交換階段使用‘SSH-2.0-HELLOWORLD’向目標(biāo)SSH服務(wù)器標(biāo)識自己。”

該惡意軟件的早期樣本將暴力破解憑據(jù)列表硬編碼到二進制文件中，但從7月開始，新的樣本開始從C2服務(wù)器檢索該列表。

自7月中旬以來，RapperBot開始使用自我傳播方式來維持對暴力破解SSH服務(wù)器的遠程訪問。該僵尸網(wǎng)絡(luò)運行一個shell命令，將遠程受害者的“ ~/.ssh/authorized_keys”替換為包含威脅參與者SSH公鑰的命令。

一旦將公鑰存儲在 ~/.ssh/authorized_keys中，任何擁有相應(yīng)私鑰的人都可以在不提供密碼的情況下驗證SSH服務(wù)器。

RapperBot還能通過在執(zhí)行時將上述相同的SSH密鑰附加到受感染設(shè)備的本地“~/.ssh/authorized_keys”上，來保持其在任何設(shè)備上的立足點。這允許該惡意軟件通過SSH保持對這些受感染設(shè)備的訪問權(quán)限，即便是設(shè)備重啟或從設(shè)備中刪除RapperBot也無濟于事。

該報告補充道，

“在最新的RapperBot樣本中，該惡意軟件還開始通過直接寫入‘/etc/passwd’和‘/etc/shadow/’將root用戶‘suhelper’添加到受感染的設(shè)備，進一步允許攻擊者完全控制設(shè)備。同時，它還通過寫入腳本‘/etc/cron.hourly/0’每小時添加一次root用戶帳戶，以防其他用戶（或僵尸網(wǎng)絡(luò)）試圖從受害者系統(tǒng)中刪除他們的帳戶?！?/p>

該僵尸網(wǎng)絡(luò)的早期版本具有純文本字符串，但隨后的版本通過將字符串構(gòu)建在堆棧上，為字符串添加了額外的混淆，以逃避檢測。

數(shù)據(jù)顯示，自6月中旬以來，該僵尸網(wǎng)絡(luò)使用全球3,500多個唯一IP掃描并嘗試使用SSH-2.0-HELLOWORLD客戶端標(biāo)識字符串暴力破解Linux SSH服務(wù)器。其中，大多數(shù)IP來自美國、臺灣和韓國。

最后，研究人員稱，RapperBot的目標(biāo)仍不明朗。