近日，F(xiàn)ortiGuard實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)了一種新型物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡(luò)“RapperBot”，自2022年6月中旬以來就一直處于活動(dòng)狀態(tài)。

該僵尸程序從原始Mirai僵尸網(wǎng)絡(luò)中借用了大部分代碼，但與其他IoT惡意軟件家族不同，它實(shí)現(xiàn)了一種內(nèi)置功能來暴力破解憑據(jù)并獲得對(duì)SSH服務(wù)器（而非在Mirai中實(shí)現(xiàn)的Telnet）的訪問權(quán)限。

專家們還注意到，最新的樣本包括保持持久性的代碼，這在其他Mirai變體中很少實(shí)現(xiàn)。

RapperBot具有有限的DDoS功能，它旨在針對(duì)ARM、MIPS、SPARC和x86架構(gòu)。

根據(jù)FortiGuard實(shí)驗(yàn)室發(fā)布的分析結(jié)果指出，

“與大多數(shù)Mirai變體（使用默認(rèn)或弱密碼暴力破解Telnet服務(wù)器）不同，RapperBot專門掃描并嘗試暴力破解配置為‘接受密碼身份驗(yàn)證’的SSH服務(wù)器。其大部分惡意軟件代碼包含一個(gè)SSH 2.0客戶端的實(shí)現(xiàn)，可以連接和暴力破解任何支持Diffie-Hellmann密鑰交換的768位或2048位密鑰以及使用AES128-CTR數(shù)據(jù)加密的SSH服務(wù)器。RapperBot暴力破解實(shí)現(xiàn)的一個(gè)顯著特征是在SSH協(xié)議交換階段使用‘SSH-2.0-HELLOWORLD’向目標(biāo)SSH服務(wù)器標(biāo)識(shí)自己?！?/p>

該惡意軟件的早期樣本將暴力破解憑據(jù)列表硬編碼到二進(jìn)制文件中，但從7月開始，新的樣本開始從C2服務(wù)器檢索該列表。

自7月中旬以來，RapperBot開始使用自我傳播方式來維持對(duì)暴力破解SSH服務(wù)器的遠(yuǎn)程訪問。該僵尸網(wǎng)絡(luò)運(yùn)行一個(gè)shell命令，將遠(yuǎn)程受害者的“ ~/.ssh/authorized_keys”替換為包含威脅參與者SSH公鑰的命令。

一旦將公鑰存儲(chǔ)在 ~/.ssh/authorized_keys中，任何擁有相應(yīng)私鑰的人都可以在不提供密碼的情況下驗(yàn)證SSH服務(wù)器。

RapperBot還能通過在執(zhí)行時(shí)將上述相同的SSH密鑰附加到受感染設(shè)備的本地“~/.ssh/authorized_keys”上，來保持其在任何設(shè)備上的立足點(diǎn)。這允許該惡意軟件通過SSH保持對(duì)這些受感染設(shè)備的訪問權(quán)限，即便是設(shè)備重啟或從設(shè)備中刪除RapperBot也無濟(jì)于事。

該報(bào)告補(bǔ)充道，

“在最新的RapperBot樣本中，該惡意軟件還開始通過直接寫入‘/etc/passwd’和‘/etc/shadow/’將root用戶‘suhelper’添加到受感染的設(shè)備，進(jìn)一步允許攻擊者完全控制設(shè)備。同時(shí)，它還通過寫入腳本‘/etc/cron.hourly/0’每小時(shí)添加一次root用戶帳戶，以防其他用戶（或僵尸網(wǎng)絡(luò)）試圖從受害者系統(tǒng)中刪除他們的帳戶?！?/p>

該僵尸網(wǎng)絡(luò)的早期版本具有純文本字符串，但隨后的版本通過將字符串構(gòu)建在堆棧上，為字符串添加了額外的混淆，以逃避檢測(cè)。

數(shù)據(jù)顯示，自6月中旬以來，該僵尸網(wǎng)絡(luò)使用全球3,500多個(gè)唯一IP掃描并嘗試使用SSH-2.0-HELLOWORLD客戶端標(biāo)識(shí)字符串暴力破解Linux SSH服務(wù)器。其中，大多數(shù)IP來自美國(guó)、臺(tái)灣和韓國(guó)。

最后，研究人員稱，RapperBot的目標(biāo)仍不明朗。