RapperBot 惡意軟件

Infosec 研究人員發現了一種危險的 IoT（物聯網）惡意軟件，被追踪為 RapperBot。對威脅的分析表明，其創建者大量使用了臭名昭著的Mirai 殭屍網絡的源代碼。在其源代碼於 2016 年 10 月洩露給公眾之前，Mirai 威脅被用於多次備受矚目的攻擊。從那時起，網絡安全研究人員已經確定了 60 多個以 Mirai 為基礎的殭屍網絡和惡意軟件變種。然而，當談到 RapperBot 時，威脅顯示出與典型 Mirai 行為的幾個主要偏離。

安全研究人員最近在一份報告中公佈了有關 RapperBot 的詳細信息。根據他們的調查結果，該威脅自 2022 年 6 月以來一直很活躍，並且正在快速發展。殭屍網絡威脅使用蠻力策略在 Linux SSH 服務器上站穩腳跟，這與針對 Telnet 服務器的更典型的 Mirai 實施不同。

根據該報告，RapperBot 正在迅速發展其受奴役的 SSH 服務器，其擁有超過 3,500 個唯一 IP 地址掃描互聯網並暴力破解新的受害者。 RapperBot 似乎也拋棄了類似 Mira 的自我傳播技術，轉而採用更多基於持久性的方法。因此，即使在重新啟動或受害者嘗試刪除後，威脅仍會保留在受感染的系統上。

通過添加運營商的 SSH 公鑰來訪問被破壞的服務器。密鑰被注入到名為“~/.ssh/authorized_keys”的特定文件中。之後，威脅參與者將能夠自由連接到服務器並僅使用相應的私鑰進行身份驗證，而無需提供密碼。即使更新了 SSH 憑據或禁用了 SSH 密碼身份驗證，此技術仍將保持對服務器的訪問。此外，通過替換合法文件，網絡犯罪分子已經刪除了所有當前存在的授權密鑰，從而阻止了合法用戶通過公鑰身份驗證成功訪問受感染的 SSH 服務器。

RapperBot 惡意軟件運營商的目標仍然模糊不清。例如，威脅參與者完全刪除了威脅的 DDoS（分佈式拒絕服務）功能，只是為了以有限的形式重新引入後者。