Вредоносное ПО RapperBot заимствует у Mirai
RapperBot — это название вредоносного ПО, обнаруженного исследователями из FortiGuard Labs.
Новое вредоносное ПО для ботов основано на коде печально известного ботнета Mirai и было описано как «быстро развивающееся». Главное отличие, которое отличает RapperBot от Mirai, заключается в его способности взламывать учетные данные методом грубой силы и получать доступ к SSH-серверам, в то время как Mirai сканирует открытые порты Telnet.
Еще одним важным отличием являются недавно добавленные функции RapperBot, которые позволяют ему сохранять устойчивость на скомпрометированных устройствах, что позволяет получить доступ даже после перезагрузки устройств, даже после удаления ядра вредоносного ПО.
RapperBot, как и Mirai, сканирует огромное количество подключенных к Интернету устройств в поисках SSH-серверов, принимающих пароли. Вредоносная программа извлекает свой список грубой силы со своих серверов управления и контроля, что позволяет операторам ботнетов со временем расширять этот список без необходимости вносить обновления кода в полезную нагрузку вредоносного ПО.
Постоянство достигается добавлением ключа SSH в ~/.ssh/authorized_keys, который разрешает доступ к этим устройствам после жесткой перезагрузки устройства или даже после удаления вредоносного ПО.
Исследователи указали на любопытную одержимость RapperBot сохранением плацдарма на зараженных устройствах. На самом деле, RapperBot предпочитает такую упрямую настойчивость самораспространению, поскольку способность вредоносного ПО к самораспространению была удалена в июньском обновлении.