Linux Botnet richt zich op zwakke SSH-serverreferenties

Er is een nieuw botnet waargenomen dat zich richt op Linux-apparaten door brute-forcing-aanvallen uit te voeren op zwakke of standaardreferenties om toegang te krijgen tot SSH-servers. Onderzoekers zeiden dat de persistentiefuncties van het botnet en de beperkte gedistribueerde denial-of-service (DDoS)-mogelijkheden het zowel onderscheiden van andere IoT-malwarefamilies als de primaire motivaties ervan een mysterie maken.

De malware, door onderzoekers “RapperBot” genoemd vanwege een URL naar YouTube-rapmuziekvideo die in oudere voorbeelden is gevonden, is snel geëvolueerd in zijn mogelijkheden sinds het voor het eerst werd ontdekt midden juni. Sindsdien zeiden onderzoekers dat ze 3.500 unieke IP’s hebben waargenomen die probeerden SSH-servers te scannen en brute-forceren met de clientidentificatiereeks van het botnet, voornamelijk bestaande uit IP’s uit de VS, Taiwan en Zuid-Korea.

“We ontdekten dat deze malwarefamilie… is ontworpen om voornamelijk te functioneren als een SSH-bruteforcer met beperkte DDoS-mogelijkheden”, zeiden Joie Salvio en Roy Tay van Fortinet’s Fortiguard Labs in een analyse deze week. “Zoals typisch is voor de meeste IoT-malware, richt het zich op ARM-, MIPS-, SPARC- en x86-architecturen.”

Hoewel de familie leent van de originele Mirai-broncode – die sinds 2017 online is en heeft geleid tot de opkomst van verschillende botnetvarianten – verschillen hun functies en implementatiedetails aanzienlijk van andere op Mirai gebaseerde varianten, aldus onderzoekers. De ingebouwde brute-force-aanvalmogelijkheden voor SSH-servers onderscheiden het van andere IoT-malwarefamilies en Mirai zelf, die in plaats daarvan brute-force-aanvallen willen lanceren tegen Telnet-servers die afhankelijk zijn van zwakke wachtwoorden.

Ook het botnet heeft de afgelopen maand een aantal wijzigingen ondergaan. Terwijl eerdere samples strings in platte tekst hadden, bouwden latere samples extra verduistering op de strings en implementeerden ze een extra laag XOR-codering om de strings tijdens de uitvoering van geheugenscanners te verbergen. En in recentere voorbeelden begonnen de ontwikkelaars van het botnet code toe te voegen om de persistentie te behouden, zodat de bedreigingsactoren continu toegang hebben tot geïnfecteerde apparaten via SSH, zelfs nadat het apparaat opnieuw is opgestart, wat volgens onderzoekers niet iets is dat doorgaans wordt gedaan in andere Mirai-varianten. .

“Afgezien van het behouden van toegang tot elke SSH-server die het bruut forceert, is RapperBot ook erg vastbesloten om voet aan de grond te houden op alle apparaten waarop het wordt uitgevoerd”, aldus onderzoekers. “Voorbeelden van half juli voegen bij uitvoering dezelfde bovengenoemde SSH-sleutel toe aan de lokale “~/.ssh/authorized_keys” op het geïnfecteerde apparaat. Hierdoor kan RapperBot zijn toegang tot deze geïnfecteerde apparaten via SSH behouden, zelfs nadat het apparaat opnieuw is opgestart of de RapperBot van het apparaat is verwijderd – iets dat atypisch is voor de meeste Mirai-varianten.”

Bovendien, terwijl eerdere voorbeelden een brute-forcing-referentielijst bevatten die hard gecodeerd was in het binaire bestand, haalden latere voorbeelden de lijst op van een andere poort op de C2-server, waardoor aanvallers SSH-referenties konden toevoegen zonder voortdurend geïnfecteerde apparaten bij te werken. Onderzoekers vonden eind juli ook enkele voorbeelden die probeerden zichzelf te verspreiden na een compromis via een externe binaire downloader; Deze functionaliteit is echter een paar dagen later verwijderd en is niet gezien in recentere voorbeelden.

Deze “merkwaardige veranderingen” die aan het botnet zijn aangebracht, hebben de beweegredenen van het botnet in nevelen gehuld. RapperBot’s beperkte mogelijkheden voor DDoS (een typisch type aanval waarvoor botnets worden gebruikt) en het ontbreken van extra payloads die worden geleverd nadat de brute force heeft plaatsgevonden, hebben onderzoekers doen twijfelen of de ontwikkelaars meer geïnteresseerd zijn in het uitbreiden van hun botnet voor verdere snode middelen of gewoon het verzamelen van gecompromitteerde SSH-apparaten.

“Op een gegeven moment werden monsters waargenomen waarbij de DDoS-aanvalmogelijkheden volledig werden verwijderd en een week later weer werden toegevoegd”, aldus onderzoekers. “Kan de DDoS-functionaliteit behouden zijn gebleven voor vermomd als een typisch DDoS-botnet om te voorkomen dat er te veel aandacht wordt getrokken? Het is ook mogelijk dat deze hele campagne nog een work in progress is.”

Ongeacht de motieven van het botnet raden onderzoekers eindgebruikers aan om sterke wachtwoorden voor apparaten in te stellen, of wachtwoordverificatie voor SSH waar mogelijk uit te schakelen, om de belangrijkste tactiek van RapperBot voor verspreiding (brute-forcing-aanvallen op SSH-inloggegevens) te blokkeren.

Leave a Comment