Hackernews 编译，转载请注明出处： 网络安全研究人员发现了名为RapperBot恶意软件的新样本，这些恶意软件正被用来构建一个僵尸网络，能够对游戏服务器发起分布式拒绝服务（DDoS）攻击。 Fortinet FortiGuard实验室的研究人员Joie Salvio和Roy Tay在周二的一份报告中表示：“事实上，这个活动不像是RapperBot，而更像是一场在2月份出现，然后在4月中旬神秘消失的运动。” 网络安全公司在2022年8月首次记录了RapperBot，据悉它专门对配置为接受密码认证的SSH服务器进行强制操作。 这种新生的恶意软件受到Mirai僵尸网络的极大启发，其源代码于2016年10月泄露，导致了多个变种的出现。 RapperBot的更新版本值得注意的是，除了支持使用通用路由封装（GRE）隧道协议的DoS攻击，以及针对运行《侠盗猎车手：圣安德烈亚斯》的游戏服务器的UDP flood攻击外，它还能够执行Telnet暴力攻击。 研究人员说：“Telnet暴力强制代码主要是为自我传播而设计的，类似于旧的Mirai Satori僵尸网络。” 该硬编码明文凭证列表是与物联网设备相关的默认凭证，被嵌入到二进制文件中，而不是从命令和控制（C2）服务器检索，这是在2022年7月之后检测到的工件中观察到的行为。 成功侵入之后，将使用的凭据报告回C2服务器，并在被黑客入侵的设备上安装RapperBot有效负载。 Fortinet表示，该恶意软件只针对运行在ARM、MIPS、PowerPC、SH4和SPARC架构上的设备，如果这些设备运行在Intel芯片组上，则停止其自我传播机制。 更重要的是，早在2021年5月，就发现2022年10月的活动与涉及恶意软件的其他操作存在重叠，Telnet扩展器模块于2021年8月首次出现，但在随后的示例中被删除，并于上月重新引入。 研究人员总结道：“基于这个新活动与之前报道的RapperBot活动之间不可否认的相似性，它们很可能是由单个黑客或由不同的黑客操作的，可以访问私人共享的基本源代码。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，FortiGuard实验室的研究人员发现了一种新型物联网（IoT）僵尸网络“RapperBot”，自2022年6月中旬以来就一直处于活动状态。 该僵尸程序从原始Mirai僵尸网络中借用了大部分代码，但与其他IoT恶意软件家族不同，它实现了一种内置功能来暴力破解凭据并获得对SSH服务器（而非在Mirai中实现的Telnet）的访问权限。 专家们还注意到，最新的样本包括保持持久性的代码，这在其他Mirai变体中很少实现。 RapperBot具有有限的DDoS功能，它旨在针对ARM、MIPS、SPARC和x86架构。 根据FortiGuard实验室发布的分析结果指出， “与大多数Mirai变体（使用默认或弱密码暴力破解Telnet服务器）不同，RapperBot专门扫描并尝试暴力破解配置为‘接受密码身份验证’的SSH服务器。其大部分恶意软件代码包含一个SSH 2.0客户端的实现，可以连接和暴力破解任何支持Diffie-Hellmann密钥交换的768位或2048位密钥以及使用AES128-CTR数据加密的SSH服务器。RapperBot暴力破解实现的一个显著特征是在SSH协议交换阶段使用‘SSH-2.0-HELLOWORLD’向目标SSH服务器标识自己。”   该恶意软件的早期样本将暴力破解凭据列表硬编码到二进制文件中，但从7月开始，新的样本开始从C2服务器检索该列表。 自7月中旬以来，RapperBot开始使用自我传播方式来维持对暴力破解SSH服务器的远程访问。该僵尸网络运行一个shell命令，将远程受害者的“ ~/.ssh/authorized_keys”替换为包含威胁参与者SSH公钥的命令。 一旦将公钥存储在 ~/.ssh/authorized_keys中，任何拥有相应私钥的人都可以在不提供密码的情况下验证SSH服务器。 RapperBot还能通过在执行时将上述相同的SSH密钥附加到受感染设备的本地“~/.ssh/authorized_keys”上，来保持其在任何设备上的立足点。这允许该恶意软件通过SSH保持对这些受感染设备的访问权限，即便是设备重启或从设备中删除RapperBot也无济于事。 该报告补充道， “在最新的RapperBot样本中，该恶意软件还开始通过直接写入‘/etc/passwd’和‘/etc/shadow/’将root用户‘suhelper’添加到受感染的设备，进一步允许攻击者完全控制设备。同时，它还通过写入脚本‘/etc/cron.hourly/0’每小时添加一次root用户帐户，以防其他用户（或僵尸网络）试图从受害者系统中删除他们的帐户。” 该僵尸网络的早期版本具有纯文本字符串，但随后的版本通过将字符串构建在堆栈上，为字符串添加了额外的混淆，以逃避检测。 数据显示，自6月中旬以来，该僵尸网络使用全球3,500多个唯一IP扫描并尝试使用SSH-2.0-HELLOWORLD客户端标识字符串暴力破解Linux SSH服务器。其中，大多数IP来自美国、台湾和韩国。 最后，研究人员称，RapperBot的目标仍不明朗。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341192.html 封面来源于网络，如有侵权请联系删除