從 Mirai 借來的 RapperBot 惡意軟件
RapperBot 是 FortiGuard 實驗室的研究人員發現的一種惡意軟件的名稱。
新的殭屍惡意軟件基於臭名昭著的 Mirai 殭屍網絡的代碼,並被描述為“快速發展”。 RapperBot 與 Mirai 的主要區別在於它能夠使用蠻力方法破解憑據並訪問 SSH 服務器,而 Mirai 則掃描開放的 Telnet 端口。
另一個很大的不同是,RapperBot 新添加的功能允許它在受感染的設備上實現持久性,因此即使在設備重新啟動後也允許訪問,即使在惡意軟件的核心已被刪除之後也是如此。
RapperBot 與 Mirai 非常相似,它會掃描大量暴露在 Internet 上的設備,尋找接受密碼的 SSH 服務器。該惡意軟件從其命令和控制服務器中提取其暴力列表,允許殭屍網絡運營商隨著時間的推移擴展該列表,而無需將代碼更新推送到惡意軟件有效負載。
持久性是通過向 ~/.ssh/authorized_keys 添加一個 SSH 密鑰來實現的,它允許在設備硬重啟後甚至在惡意軟件被刪除後訪問這些設備。
研究人員指出,RapperBot 奇怪地痴迷於在已感染的設備上站穩腳跟。事實上,RapperBot 選擇了這種頑固的持久性而不是自我傳播,因為惡意軟件的自我傳播能力在 6 月的更新中被刪除。
August 8, 2022
