RapperBot-Malware

Forscher von Infosec haben eine gefährliche IoT-Malware (Internet of Things) identifiziert, die als RapperBot verfolgt wird. Die Analyse der Bedrohung hat ergeben, dass ihre Schöpfer den Quellcode des berüchtigten Mirai-Botnetzes stark genutzt haben. Die Mirai-Bedrohung wurde bei mehreren hochkarätigen Angriffen verwendet, bevor ihr Quellcode im Oktober 2016 an die Öffentlichkeit gelangte. Seitdem haben Cybersicherheitsforscher über 60 Botnet- und Malware-Varianten auf der Grundlage von Mirai identifiziert. Wenn es jedoch um RapperBot geht, weist die Bedrohung mehrere wesentliche Abweichungen vom typischen Mirai-Verhalten auf.

Details zu RapperBot wurden kürzlich in einem Bericht von Sicherheitsforschern veröffentlicht. Ihren Erkenntnissen zufolge ist die Bedrohung seit Juni 2022 aktiv und entwickelt sich rasant weiter. Die Botnet-Bedrohung verwendet Brute-Force-Taktiken, um auf Linux-SSH-Servern Fuß zu fassen, im Gegensatz zu der typischeren Mirai-Implementierung, die auf Telnet-Server abzielt.

Dem Bericht zufolge baut RapperBot seine versklavten SSH-Server mit über 3.500 eindeutigen IP-Adressen aus, die das Internet scannen und sich mit Brute-Force ihren Weg zu neuen Opfern bahnen. RapperBot scheint auch seine Mirai-ähnlichen Selbstausbreitungstechniken zugunsten von mehr Persistenz-basierten Methoden hinter sich gelassen zu haben. Infolgedessen kann die Bedrohung auch nach einem Neustart oder einer versuchten Entfernung durch die Opfer auf dem infizierten System verbleiben.

Der Zugriff auf die verletzten Server erfolgt über das Hinzufügen des öffentlichen SSH-Schlüssels des Betreibers. Der Schlüssel wird in eine bestimmte Datei namens „~/.ssh/authorized_keys“ eingefügt. Danach können sich die Angreifer frei mit dem Server verbinden und sich nur mit dem entsprechenden privaten Schlüssel authentifizieren, ohne ein Passwort angeben zu müssen. Diese Technik behält den Zugriff auf den Server bei, selbst wenn die SSH-Anmeldeinformationen aktualisiert oder die SSH-Kennwortauthentifizierung deaktiviert wird. Darüber hinaus haben die Cyberkriminellen durch das Ersetzen der legitimen Datei alle derzeit vorhandenen autorisierten Schlüssel gelöscht, wodurch legitime Benutzer daran gehindert werden, erfolgreich über die Public-Key-Authentifizierung auf den kompromittierten SSH-Server zuzugreifen.

Die Ziele der Betreiber von RapperBot Malware bleiben nebulös. Beispielsweise entfernen die Bedrohungsakteure die DDoS-Fähigkeiten (Distributed Denial-of-Service) der Bedrohung vollständig, nur um letztere in begrenzter Form wieder einzuführen.