Найти тему
IS-Systems

Новый IoT-вредонос «RapperBot» нацелен на брутфорс SSH на Linux-серверах.

«Это семейство в значительной степени заимствует исходный код Mirai, но от других семейств вредоносных программ для IoT его отличает встроенная возможность перебора учетных данных и получения доступа к серверам SSH, а не Telnet, как это было реализовано в Mirai» - сообщается в отчете Fortinet FortiGuard Labs.

Вредонос, получивший свое название от встроенного URL-адреса рэп-клипа на YouTube в ранней версии, как сообщается, собрал растущую коллекцию взломанных SSH-серверов с более чем 3500 уникальных IP-адресов, используемых для сканирования и перебора доступа.

Текущая реализация RapperBot также отличает его от Mirai, позволяя ему функционировать в основном как инструмент для брутфорса SSH с ограниченными возможностями для проведения DDoS-атак.

Отклонение от традиционного поведения Mirai также подтверждается его попыткой установить присутствие на скомпрометированном хосте, что позволяет атакующему сохранять доступ в течение длительного времени, в том числе после удаления вредоноса или перезагрузки устройства.

Атаки предполагают перебор потенциальных целей с использованием списка учетных данных, полученных с удаленного сервера. После успешного взлома уязвимого SSH-сервера действительные учетные данные передаются обратно на командно-контрольный сервер.

«С середины июля RapperBot перешел от самораспространения к поддержанию удаленного доступа к SSH-серверам, взломанным методом брутфорса» - сообщили исследователи.

-2

Доступ осуществляется путем добавления открытого ключа SSH операторов в специальный файл «~/.ssh/authorized_keys», что позволяет атакующему подключиться и аутентифицироваться на сервере с помощью соответствующего закрытого частного ключа без необходимости вводить пароль.

«Это представляет угрозу для взломанных SSH-серверов, так как злоумышленники могут получить к ним доступ даже после того, как учетные данные SSH были изменены или аутентификация по паролю SSH отключена» - пояснили исследователи.

«Более того, после замены файла все существующие авторизованные ключи удаляются, что не позволяет легитимным пользователям получить доступ к SSH-серверу через аутентификацию с открытым ключом».

Это изменение также позволяет вредоносной программе сохранять доступ к этим взломанным устройствам через SSH, что дает ей возможность использовать этот плацдарм для проведения атак типа «отказ в обслуживании» в стиле Mirai.

Эти отличия от других семейств вредоносных программ для IoT привели к тому, что их основные мотивы остаются загадкой, и этот факт усугубляется тем, что авторы RapperBot не оставили практически никаких признаков своего происхождения.

Несмотря на отказ от самораспространения в пользу устойчивости присутствия, ботнет, как говорят, претерпел значительные изменения за короткий промежуток времени, главным из которых было удаление функций DDoS-атак из артефактов в один момент, только для того, чтобы снова ввести их неделю спустя.

Цели кампании, в конечном счете, остаются в лучшем случае туманными, поскольку после успешной компрометации не наблюдалось никакой последующей активности. Ясно только, что SSH-серверы с учетными данными по умолчанию или слабыми паролями попадают в ботнет для каких-то неопределенных будущих целей.

Для защиты от подобных заражений пользователям рекомендуется устанавливать надежные пароли для устройств или по возможности отключать аутентификацию пароля для SSH.

«Хотя эта угроза в значительной степени заимствует код у Mirai, у нее есть особенности, которые отличают ее от предшественницы и ее разновидностей» - заявляют исследователи. «Способность вредоноса сохраняться в системе жертвы дает хакерам гибкость в использовании для любых вредоносных целей, которые они могут преследовать».

Источник: https://is-systems.org

С подпиской рекламы не будет

Подключите Дзен Про за 159 ₽ в месяц