新型Linux僵尸网络RapperBot暴力破解SSH主机

近日，FortiGuard试验室的钻研人员发现了一种新型物联网（IoT）僵尸网络“RapperBot”，自2022年6月中旬以来就不时处于优惠形态。

该僵尸程序从原始Mirai僵尸网络中借用了大局部代码，但与其余IoT恶意软件家族不同，它成功了一种内置性能来暴力破解凭据并取得对SSH主机（而非在Mirai中成功的Telnet）的访问权限。

专家们还留意到，最新的样本包括坚持耐久性的代码，这在其余Mirai变体中很少成功。

RapperBot具备有限的DDoS性能，它旨在针对ARM、MIPS、SPARC和x86架构。

依据FortiGuard试验室颁布的剖析结果指出，

该恶意软件的早期样本将暴力破解凭据列表硬编码到二进制文件中，但从7月开局，新的样本开局从C2主机检索该列表。

自7月中旬以来，RapperBot开局经常使用自我流传模式来维持对暴力破解SSH主机的远程访问。该僵尸网络运转一个shell命令，将远程受益者的“~/.ssh/authorized_keys”交流为蕴含要挟介入者SSH公钥的命令。

一旦将公钥存储在 ~/.ssh/authorized_keys中，任何领有相应私钥的人都可以在不提供明码的状况下验证SSH主机。

RapperBot还能经过在口头时将上述相反的SSH密钥附加到受感化设施的本地“~/.ssh/authorized_keys”上，来坚持其在任何设施上的立足点。这准许该恶意软件经过SSH坚持对这些受感化设施的访问权限，即使是设施重启或从设施中删除RapperBot也无济于事。

该报告补充道，

该僵尸网络的早期版本具备纯文本字符串，但随后的版本经过将字符串构建在堆栈上，为字符串减少了额外的混杂，以回避检测。

数据显示，自6月中旬以来，该僵尸网络经常使用世界3,500多个惟一IP扫描并尝试经常使用SSH-2.0-HELLOWORLD客户端标识字符串暴力破解Linux SSH主机。其中，大少数IP来自美国、台湾和韩国。

最后，钻研人员称，RapperBot的指标仍不清朗。