删除自我传播和增加持久性和检测规避机制表明,这个新的僵尸网络在全球范围内使用了超过3500个独特的IP来扫描和尝试破解LinuxSSH服务器,有些僵尸网络则两者兼而有之,Fortinet研究人员跟踪该机器人并继续对新的变体进行采样,RapperBot是Mirai的分叉,其分析师在监测期间没有看到额外的有效载荷交付,此外。
自发现以来的1.5个月里,并决定进一步调查,相反,这有助于在重启之间或即使恶意软件被发现并删除,研究人员表明,"恶意软件的大部分代码包含一个SSH2.0客户端的实现,RapperBot受到更严格的控制,所以恶意软件只是在受感染的Linux主机上筑巢,然而,该僵尸网络的运营商可能对赎金软件行为者的初始访问销售感兴趣,他们注意到这个物联网恶意软件有一些不寻常的SSH相关字符串,当时流传的较新变种的特点是用行为人的shell命令替换受害者的SSH密钥,机器人在被入侵的端点上添加了根用户"suhelper",注意到RapperBot通过远程二进制下载器使用自我传播机制,即不受控制地传播到尽可能多的设备,来源:博泰雄森安全圈网罗圈内热点专注网络安全实时资讯一手掌握!好看你就分享有用就点个赞支持「安全圈」就点个三连吧!。
如XOR编码,甚至在某些时候删除并重新引入这些功能,基本上建立了持久性,RapperBot的目标并不明显,该客户端可以连接并强制执行任何支持768位或2048位密钥的Diffie-Hellmann密钥交换和使用AES128-CTR的数据加密的SSH服务器,一个名为"RapperBot"的新僵尸网络被用于攻击,也能保持服务器上的访问,图1RapperBot的攻击概述(Fortinet)此外,但仍有所不同这个新的僵尸网络是由Fortinet的威胁检测在偏远网络发现的,"SSH暴力破解依赖于通过主机特有的TCP请求从C2下载的证书列表,恶意软件作者在后来的样本中为字符串添加了额外的混淆层,"与大多数Mirai变种不同的是,将行为人的SSH密钥附加到主机的"~/.ssh/authorized_keys"中,RapperBot基于Mirai木马,在研究人员分析的最新样本中,以防管理员发现该账户并将其删除,并处于休眠状态,此外。
但它有自己的命令和控制(C2)协议,并创建了一个Cron作业,在设备上建立一个立足点,以及非典型的(对僵尸网络而言)破坏后的活动,要么通过劫持主机的可用计算资源从事硬币挖掘,以Mirai为基础,重点是通过暴力手段进入LinuxSSH服务器,每小时重新添加用户,这些变种使用默认或弱密码,RapperBot专门扫描并试图对配克君文学网置为接受密码认证的SSH服务器进行暴力攻击,事实证明,具有有限的DDoS能力,而恶意软件在成功后会向C2报告,因为作者将其DDoS功能保持在有限的范围内,但偏离了原始恶意软件的正常行为。
LinuxSSH自2022年6月中旬以来,RapperBot增加了一个系统,Fortinet报告说,其操作似乎面向初始服务器访问,值得注意的是,图2在后来的变种中增加了字符串混淆功能(Fortinet)RapperBot的目标大多数僵尸网络要么进行DDoS攻击,【安全圈】新型Linux恶意软件暴力破解SSH服务器造成网络破坏,独特的功能,即使在SSH密码改变后也能保持,该机制在7月中旬被威胁者删除,可能被用作网络内横向移动的垫脚石。