关键词
Linux SSH
自2022年6月中旬以来,一个名为 “RapperBot “的新僵尸 络被用于攻击,重点是通过暴力手段进入Linux SSH服务器,在设备上建立一个立足点。
研究人员表明,RapperBot基于Mirai木马,但偏离了原始恶意软件的正常行为,即不受控制地传播到尽可能多的设备。
相反,RapperBot受到更严格的控制,具有有限的DDoS能力,其操作似乎面向初始服务器访问,可能被用作 络内横向移动的垫脚石。
自发现以来的1.5个月里,这个新的僵尸 络在全球范围内使用了超过3500个独特的IP来扫描和尝试破解Linux SSH服务器。
以Mirai为基础,但仍有所不同
这个新的僵尸 络是由Fortinet的威胁检测在偏远 络发现的,他们注意到这个物联 恶意软件有一些不寻常的SSH相关字符串,并决定进一步调查。
事实证明,RapperBot是Mirai的分叉,但它有自己的命令和控制(C2)协议,独特的功能,以及非典型的(对僵尸 络而言)破坏后的活动。
“与大多数Mirai变种不同的是,RapperBot专门扫描并试图对配置为接受密码认证的SSH服务器进行暴力攻击,这些变种使用默认或弱密码。
“恶意软件的大部分代码包含一个SSH 2.0客户端的实现,该客户端可以连接并强制执行任何支持768位或2048位密钥的Diffie-Hellmann密钥交换和使用AES128-CTR的数据加密的SSH服务器。”
SSH暴力破解依赖于通过主机特有的TCP请求从C2下载的证书列表,而恶意软件在成功后会向C2 告。
Fortinet研究人员跟踪该机器人并继续对新的变体进行采样,注意到RapperBot通过远程二进制下载器使用自我传播机制,该机制在7月中旬被威胁者删除。
当时流传的较新变种的特点是用行为人的shell命令替换受害者的SSH密钥,基本上建立了持久性,即使在SSH密码改变后也能保持。
此外,RapperBot增加了一个系统,将行为人的SSH密钥附加到主机的”~/.ssh/authorized_keys “中,这有助于在重启之间或即使恶意软件被发现并删除,也能保持服务器上的访问。
在研究人员分析的最新样本中,机器人在被入侵的端点上添加了根用户 “suhelper”,并创建了一个Cron作业,每小时重新添加用户,以防管理员发现该账户并将其删除。
图 1RapperBot的攻击概述 (Fortinet)
图 2在后来的变种中增加了字符串混淆功能(Fortinet)
RapperBot的目标
大多数僵尸 络要么进行DDoS攻击,要么通过劫持主机的可用计算资源从事硬币挖掘,有些僵尸 络则两者兼而有之。
此外,删除自我传播和增加持久性和检测规避机制表明,该僵尸 络的运营商可能对赎金软件行为者的初始访问销售感兴趣。
Fortinet 告说,其分析师在监测期间没有看到额外的有效载荷交付,所以恶意软件只是在受感染的Linux主机上筑巢,并处于休眠状态。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!