Το RapperBot Malware δανείζεται από το Mirai
Το RapperBot είναι το όνομα ενός κομματιού κακόβουλου λογισμικού που ανακαλύφθηκε από ερευνητές της FortiGuard Labs.
Το νέο κακόβουλο λογισμικό bot βασίζεται σε κώδικα από το διαβόητο botnet Mirai και έχει χαρακτηριστεί ως "ταχέως εξελισσόμενο". Η κύρια διαφορά που ξεχωρίζει το RapperBot από το Mirai είναι η ικανότητά του να σπάει διαπιστευτήρια χρησιμοποιώντας μια μέθοδο brute-force και να έχει πρόσβαση σε διακομιστές SSH, ενώ το Mirai σάρωνε για ανοιχτές θύρες Telnet.
Μια άλλη μεγάλη διαφορά είναι οι νέες δυνατότητες του RapperBot που προστέθηκαν που του επιτρέπουν να επιτύχει σταθερότητα στις παραβιασμένες συσκευές, επιτρέποντας έτσι την πρόσβαση ακόμα και μετά την επανεκκίνηση των συσκευών, ακόμη και μετά την αφαίρεση του πυρήνα του κακόβουλου λογισμικού.
Το RapperBot, όπως και το Mirai, σαρώνει τεράστιους αριθμούς συσκευών που εκτίθενται στο Διαδίκτυο, αναζητώντας διακομιστές SSH που δέχονται κωδικούς πρόσβασης. Το κακόβουλο λογισμικό βγάζει τη λίστα ωμής δύναμης από τους διακομιστές εντολών και ελέγχου, επιτρέποντας στους χειριστές του botnet να επεκτείνουν αυτήν τη λίστα με την πάροδο του χρόνου χωρίς να χρειάζεται να προωθήσουν ενημερώσεις κώδικα στο ωφέλιμο φορτίο κακόβουλου λογισμικού.
Η επιμονή επιτυγχάνεται με την προσθήκη ενός κλειδιού SSH στο ~/.ssh/authorized_keys, το οποίο επιτρέπει την πρόσβαση σε αυτές τις συσκευές μετά από μια σκληρή επανεκκίνηση της συσκευής ή ακόμα και μετά την αφαίρεση του κακόβουλου λογισμικού.
Οι ερευνητές επεσήμαναν την περίεργη εμμονή του RapperBot να διατηρεί σταθερή θέση σε συσκευές που έχουν μολυνθεί. Στην πραγματικότητα, το RapperBot επιλέγει αυτό το είδος πεισματικής επιμονής αντί της αυτοδιάδοσης, καθώς η δυνατότητα αυτοδιάδοσης του κακόβουλου λογισμικού καταργήθηκε σε μια ενημέρωση του Ιουνίου.
