RapperBot Malware låner fra Mirai

RapperBot er navnet på et stykke malware opdaget af forskere med FortiGuard Labs.

Den nye bot-malware er baseret på kode fra det berygtede Mirai-botnet og er blevet beskrevet som "hurtigt udviklende". Den største forskel, der adskiller RapperBot fra Mirai, er dens evne til at knække legitimationsoplysninger ved hjælp af en brute-force-metode og få adgang til SSH-servere, mens Mirai scannede efter åbne Telnet-porte.

En anden stor forskel er RapperBots nyligt tilføjede funktioner, der gør det muligt at opnå persistens på de kompromitterede enheder, og dermed tillader adgang selv efter enhederne er genstartet, selv efter at kernen af malware er blevet fjernet.

RapperBot, ligesom Mirai, scanner et stort antal internet-eksponerede enheder og leder efter SSH-servere, der accepterer adgangskoder. Malwaren trækker sin brute force-liste fra sine kommando- og kontrolservere, hvilket giver botnet-operatørerne mulighed for at udvide listen over tid uden at skulle skubbe kodeopdateringer til malware-nyttelasten.

Vedholdenhed opnås ved at tilføje en SSH-nøgle til ~/.ssh/authorized_keys, som giver adgang til disse enheder efter en hård genstart af enheden eller endda efter at malware er fjernet.

Forskere påpegede RapperBots mærkelige besættelse for at bevare fodfæste på enheder, der er blevet inficeret. Faktisk vælger RapperBot denne form for stædig vedholdenhed frem for selvudbredelse, da malwarens selvudbredelsesevne blev fjernet i en juni-opdatering.