A RapperBot rosszindulatú program kölcsönkér a Miraitól

A RapperBot egy rosszindulatú program neve, amelyet a FortiGuard Labs kutatói fedeztek fel.

Az új bot-malware a hírhedt Mirai botnet kódján alapul, és „gyorsan fejlődőnek” nevezték. A fő különbség, ami megkülönbözteti a RapperBotot a Miraitól, az a képessége, hogy brute-force módszerrel képes feltörni a hitelesítő adatokat, és hozzáférni az SSH-kiszolgálókhoz, miközben a Mirai nyitott Telnet portokat keresett.

Egy másik nagy különbség a RapperBot újonnan hozzáadott funkciói, amelyek lehetővé teszik, hogy a kompromittált eszközökön is megmaradjon, így még az eszközök újraindítása után is elérhető, még a kártevő magjának eltávolítása után is.

A RapperBot, hasonlóan a Miraihoz, rengeteg internetes eszközt vizsgál át, és olyan SSH-kiszolgálókat keres, amelyek elfogadják a jelszavakat. A rosszindulatú program lekéri a brute force listáját a parancs- és vezérlőszervereiről, lehetővé téve a botnet üzemeltetőinek, hogy idővel bővítsék ezt a listát anélkül, hogy kódfrissítéseket kellene küldeniük a kártevő rakományának.

A tartósságot úgy érik el, hogy SSH-kulcsot adnak a ~/.ssh/authorized_keys fájlhoz, amely lehetővé teszi az eszközök elérését az eszköz kemény újraindítása után, vagy akár a rosszindulatú program eltávolítása után is.

A kutatók rámutattak a RapperBot furcsa megszállottságára, hogy megőrizze lábát a fertőzött eszközökön. Valójában a RapperBot ezt a fajta makacs kitartást választja az önterjedés helyett, mivel egy júniusi frissítésben eltávolították a rosszindulatú program önterjedési képességét.