RapperBot Malware Leiht sich von Mirai aus

RapperBot ist der Name einer Malware, die von Forschern der FortiGuard Labs entdeckt wurde.

Die neue Bot-Malware basiert auf Code des berüchtigten Mirai-Botnetzes und wurde als „sich schnell entwickelnd“ beschrieben. Der Hauptunterschied, der RapperBot von Mirai unterscheidet, ist seine Fähigkeit, Anmeldeinformationen mit einer Brute-Force-Methode zu knacken und auf SSH-Server zuzugreifen, während Mirai nach offenen Telnet-Ports suchte.

Ein weiterer großer Unterschied sind die neu hinzugefügten Funktionen von RapperBot, die es ermöglichen, Persistenz auf den kompromittierten Geräten zu erreichen und so den Zugriff auch nach dem Neustart der Geräte zu ermöglichen, selbst nachdem der Kern der Malware entfernt wurde.

RapperBot scannt, ähnlich wie Mirai, eine große Anzahl von Geräten, die dem Internet ausgesetzt sind, und sucht nach SSH-Servern, die Passwörter akzeptieren. Die Malware ruft ihre Brute-Force-Liste von ihren Command-and-Control-Servern ab, sodass die Botnet-Betreiber diese Liste im Laufe der Zeit erweitern können, ohne Code-Updates an die Malware-Payload senden zu müssen.

Persistenz wird erreicht, indem ein SSH-Schlüssel zu ~/.ssh/authorized_keys hinzugefügt wird, der den Zugriff auf diese Geräte nach einem harten Neustart des Geräts oder sogar nach dem Entfernen der Malware ermöglicht.

Die Forscher wiesen auf die merkwürdige Besessenheit von RapperBot hin, auf infizierten Geräten Fuß zu fassen. Tatsächlich entscheidet sich RapperBot für diese Art hartnäckiger Beharrlichkeit gegenüber der Selbstausbreitung, da die Selbstausbreitungsfähigkeit der Malware in einem Juni-Update entfernt wurde.