近日，FortiGuard實驗室的研究人員發(fā)現了一種新型物聯網（IoT）僵尸網絡“RapperBot”，自2022年6月中旬以來就一直處于活動狀態(tài)。

該僵尸程序從原始Mirai僵尸網絡中借用了大部分代碼，但與其他IoT惡意軟件家族不同，它實現了一種內置功能來暴力破解憑據并獲得對SSH服務器（而非在Mirai中實現的Telnet）的訪問權限。

專家們還注意到，最新的樣本包括保持持久性的代碼，這在其他Mirai變體中很少實現。

RapperBot具有有限的DDoS功能，它旨在針對ARM、MIPS、SPARC和x86架構。

根據FortiGuard實驗室發(fā)布的分析結果指出，

“與大多數Mirai變體（使用默認或弱密碼暴力破解Telnet服務器）不同，RapperBot專門掃描并嘗試暴力破解配置為‘接受密碼身份驗證’的SSH服務器。其大部分惡意軟件代碼包含一個SSH 2.0客戶端的實現，可以連接和暴力破解任何支持Diffie-Hellmann密鑰交換的768位或2048位密鑰以及使用AES128-CTR數據加密的SSH服務器。RapperBot暴力破解實現的一個顯著特征是在SSH協議交換階段使用‘SSH-2.0-HELLOWORLD’向目標SSH服務器標識自己?！?/p>

該惡意軟件的早期樣本將暴力破解憑據列表硬編碼到二進制文件中，但從7月開始，新的樣本開始從C2服務器檢索該列表。

自7月中旬以來，RapperBot開始使用自我傳播方式來維持對暴力破解SSH服務器的遠程訪問。該僵尸網絡運行一個shell命令，將遠程受害者的“ ~/.ssh/authorized_keys”替換為包含威脅參與者SSH公鑰的命令。

一旦將公鑰存儲在 ~/.ssh/authorized_keys中，任何擁有相應私鑰的人都可以在不提供密碼的情況下驗證SSH服務器。

RapperBot還能通過在執(zhí)行時將上述相同的SSH密鑰附加到受感染設備的本地“~/.ssh/authorized_keys”上，來保持其在任何設備上的立足點。這允許該惡意軟件通過SSH保持對這些受感染設備的訪問權限，即便是設備重啟或從設備中刪除RapperBot也無濟于事。

該報告補充道，

“在最新的RapperBot樣本中，該惡意軟件還開始通過直接寫入‘/etc/passwd’和‘/etc/shadow/’將root用戶‘suhelper’添加到受感染的設備，進一步允許攻擊者完全控制設備。同時，它還通過寫入腳本‘/etc/cron.hourly/0’每小時添加一次root用戶帳戶，以防其他用戶（或僵尸網絡）試圖從受害者系統中刪除他們的帳戶?！?/p>

該僵尸網絡的早期版本具有純文本字符串，但隨后的版本通過將字符串構建在堆棧上，為字符串添加了額外的混淆，以逃避檢測。

數據顯示，自6月中旬以來，該僵尸網絡使用全球3,500多個唯一IP掃描并嘗試使用SSH-2.0-HELLOWORLD客戶端標識字符串暴力破解Linux SSH服務器。其中，大多數IP來自美國、臺灣和韓國。

最后，研究人員稱，RapperBot的目標仍不明朗。