通過 SSH 蠻力攻擊針對 Linux 服務器的新 IoT RapperBot 惡意軟件

自 2022 年 6 月中旬首次發現以來，人們觀察到一種名為RapperBot的新型物聯網僵尸網絡惡意軟件正在迅速發展其功能。

“這個系列大量借鑒了原始Mirai 源代碼，但它與其他 IoT 惡意軟件系列的不同之處在于它內置的功能是暴力破解憑據并獲得對 SSH 服務器的訪問權限，而不是在 Mirai 中實現的 Telnet，”Fortinet FortiGuard 實驗室說在一份報告中。

該惡意軟件的名稱來自早期版本的 YouTube 說唱音樂視頻的嵌入式 URL，據說已經積累了越來越多的受感染 SSH 服務器，有超過 3,500 個唯一 IP 地址用于掃描和暴力破解。進入服務器。

RapperBot 當前的實施也將其與 Mirai 進行了描述，使其主要用作 SSH 蠻力工具，但執行分布式拒絕服務 (DDoS) 攻擊的能力有限。

與傳統 Mirai 行為的偏差進一步證明，它試圖在受感染的主機上建立持久性，有效地允許威脅參與者在惡意軟件被刪除或設備重新啟動后很長時間保持長期訪問。

這些攻擊需要使用從遠程服務器接收到的憑據列表來暴力破解潛在目標。成功侵入易受攻擊的 SSH 服務器后，有效憑據將被泄露回命令和控制系統。

研究人員說：“自 7 月中旬以來，RapperBot 已從自我傳播轉向維持對暴力 SSH 服務器的遠程訪問。”

訪問是通過將運營商的 SSH 公鑰添加到一個名為“ ~/.ssh/authorized_keys ”的特殊文件中來實現的，從而允許攻擊者使用相應的私鑰連接并驗證服務器，而無需提供密碼。

研究人員解釋說：“這對受損的 SSH 服務器構成了威脅，因為即使在 SSH 憑據已更改或 SSH 密碼身份驗證被禁用后，威脅者也可以訪問它們。”

“此外，由于文件被替換，所有現有的授權密鑰都被刪除，這會阻止合法用戶通過公鑰認證訪問 SSH 服務器。”

這種轉變還使惡意軟件能夠通過 SSH 保持對這些被黑設備的訪問，從而允許攻擊者利用立足點進行 Mirai 式的拒絕服務攻擊。

與其他物聯網惡意軟件家族的這些差異產生了副作用，使其主要動機變得神秘，這一事實進一步復雜化，因為 RapperBot 的作者幾乎沒有留下任何關于其出處的跡象。

盡管放棄了自我傳播以支持持久性，但據說僵尸網絡在短時間內發生了重大變化，其中主要是從工件中刪除了 DDoS 攻擊功能，只是重新引入了一周后。

最終，該活動的目標充其量只是模糊不清，在成功妥協后沒有觀察到后續活動。很明顯，具有默認或可猜測憑據的 SSH 服務器正被限制在僵尸網絡中，用于某些未指定的未來目的。

為了抵御此類感染，建議用戶為設備設置強密碼或盡可能禁用 SSH 密碼驗證。

研究人員說：“盡管這種威脅大量借用了 Mirai 的代碼，但它具有使其與前身及其變體不同的功能。” “它在受害者系統中持續存在的能力使威脅參與者可以靈活地將它們用于他們想要的任何惡意目的。”