新型Linux僵尸网络RapperBot暴力破除SSH服务器

不久前，FortiGuard的研究部门鉴定出一种崭新的IoT网络僵尸网。

该僵尸程序从原始Mirai僵尸网络中借用了大部分代码，但与其他IoT恶意软件家族不同，它实现了一种内置功能来暴力破解凭据并获得对SSH服务器（而非在Mirai中实现的Telnet）的访问权限。

专家们还注意到，最新的样本包括保持持久性的代码，这在其他Mirai变体中很少实现。

RapperBot具有有限的DDoS功能，它旨在针对ARM、MIPS、SPARC和x86架构。

自7月中旬以来，RapperBot开始使用自我传播方式来维持对暴力破解SSH服务器的远程访问。该僵尸网络运行一个shell命令，将远程受害者的“ ~/.ssh/authorized_keys”替换为包含威胁参与者SSH公钥的命令。

一旦将公钥存储在 ~/.ssh/authorized_keys中，任何选定的拥有相应数据库私钥的人都可以在不要求提供客户端的密码的情况下简便地验证SSH客户端和服务器。

“在最新的RapperBot样本中，该恶意软件还开始通过直接写入‘/etc/passwd’和‘/etc/shadow/’将root用户‘suhelper’添加到受感染的设备，进一步允许攻击者完全控制设备。同时，它还通过写入脚本‘/etc/cron.hourly/0’每小时添加一次root用户帐户，以防其他用户（或僵尸网络）试图从受害者系统中删除他们的帐户。”

该僵尸网络的早期版本具有纯文本字符串，但随后的版本通过将字符串构建在堆栈上，为字符串添加了额外的混淆，以逃避检测。当然，这并不意味着我们可以忽视它，因为它仍然存在，只是我们无法确定它是否会继续发展下去。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!