从 Mirai 借来的 RapperBot 恶意软件
RapperBot 是 FortiGuard 实验室的研究人员发现的一种恶意软件的名称。
新的僵尸恶意软件基于臭名昭著的 Mirai 僵尸网络的代码,并被描述为“快速发展”。 RapperBot 与 Mirai 的主要区别在于它能够使用蛮力方法破解凭据并访问 SSH 服务器,而 Mirai 则扫描开放的 Telnet 端口。
另一个很大的不同是,RapperBot 新添加的功能允许它在受感染的设备上实现持久性,因此即使在设备重新启动后也允许访问,即使在恶意软件的核心已被删除之后也是如此。
RapperBot 与 Mirai 非常相似,它会扫描大量暴露在 Internet 上的设备,寻找接受密码的 SSH 服务器。该恶意软件从其命令和控制服务器中提取其蛮力列表,允许僵尸网络运营商随着时间的推移扩展该列表,而无需将代码更新推送到恶意软件有效负载。
持久性是通过向 ~/.ssh/authorized_keys 添加一个 SSH 密钥来实现的,它允许在设备硬重启后甚至在恶意软件被删除后访问这些设备。
研究人员指出,RapperBot 奇怪地痴迷于在已被感染的设备上站稳脚跟。事实上,RapperBot 选择了这种顽固的持久性而不是自我传播,因为恶意软件的自我传播能力在 6 月的更新中被删除。
August 8, 2022
