RapperBot Malware leent van Mirai
RapperBot is de naam van een stukje malware dat is ontdekt door onderzoekers van FortiGuard Labs.
De nieuwe bot-malware is gebaseerd op code van het beruchte Mirai-botnet en wordt beschreven als "snel evoluerend". Het belangrijkste verschil dat RapperBot onderscheidt van Mirai is de mogelijkheid om inloggegevens te kraken met een brute-force-methode en toegang te krijgen tot SSH-servers, terwijl Mirai scande naar open Telnet-poorten.
Een ander groot verschil zijn de nieuw toegevoegde functies van RapperBot waarmee het persistentie op de gecompromitteerde apparaten kan bereiken, waardoor toegang mogelijk is, zelfs nadat de apparaten opnieuw zijn opgestart, zelfs nadat de kern van de malware is verwijderd.
RapperBot scant, net als Mirai, enorme aantallen apparaten die aan het internet zijn blootgesteld, op zoek naar SSH-servers die wachtwoorden accepteren. De malware haalt zijn brute force-lijst van zijn commando- en controleservers, waardoor de botnet-operators die lijst in de loop van de tijd kunnen uitbreiden zonder code-updates naar de malware-payload te hoeven pushen.
Persistentie wordt bereikt door een SSH-sleutel toe te voegen aan ~/.ssh/authorized_keys, die toegang tot die apparaten mogelijk maakt na een harde herstart van het apparaat of zelfs nadat de malware is verwijderd.
Onderzoekers wezen op de merkwaardige obsessie van RapperBot om voet aan de grond te houden op geïnfecteerde apparaten. In feite verkiest RapperBot dit soort hardnekkige volharding boven zelfverspreiding, aangezien de zelfverspreidingscapaciteit van de malware in een update van juni werd verwijderd.
