RapperBot kampanyası, finansal ufkunu genişletmek için mevcut dağıtılmış hizmet reddi (DDoS) botnet kötü amaçlı yazılımına kripto madenciliği yeteneği ekleyerek kötü amaçlı yazılım cephaneliğine bazı yeni yetenekler kazandırıyor.
Fortinet’in FortiGuard Labs tarafından bu hafta yayınlanan bir RapperBot analizine göre, kötü amaçlı yazılımın cryptojacking unsuru, iyi bilinen XMRig Monero madencisinin özel olarak Intel x64 makineleri için tasarlanmış özelleştirilmiş bir çeşididir.
Araştırmacılar gönderide, “Başlangıçta, olağan RapperBot ikilisinin yanında ayrı bir Monero kripto madencisi kurdular ve yürüttüler.” “Ancak Ocak 2023’ün sonlarında, her iki işlevi de tek bir robotta birleştirdiler.”
RapperBot’un operatörleri genellikle geçmişte Nesnelerin İnterneti (IoT) cihazlarını bir botnet’e köleleştirmek amacıyla kaba kuvvet kullanarak zayıf veya varsayılan SSH veya Telnet kimlik bilgilerini tehlikeye atmaya odaklanmıştı. Geçen Haziran ayından beri aktif olan Mirai tabanlı botnet, birkaç DDoS kampanyasında kullanıldı, ancak çete, botnet’in başarabileceklerini genişleterek paranın karşılığını daha fazla alma fırsatı gördü.
FortiGuard araştırmacıları, “Finansal olarak motive olmuş botnet operatörleri, botnet’lerinden etkilenen makinelerden maksimum değeri elde etmek için her zaman tetiktedir” dedi. “RapperBot botnet’in arkasındaki tehdit aktörleri, x64 makinelerini hedeflemek için cryptojacking yetenekleri eklemelerinde açıkça görüldüğü gibi, bir istisna değildir.”
RapperBot feat. Cryptojacking: Mantıklı Bir Ekip Oluşturma
FortiGuard araştırmacılarına göre XMRig, açık kaynaklı bir Monero madencisi ve tüketici IoT donanımını istila etmede uzmanlaşmış bir DDoS botnet tarafından birleştirilmesi mantıklı.
Gönderide “Monero (XMR), gizliliği artıran özellikleri nedeniyle tehdit aktörleri tarafından yasa dışı madencilik için popüler bir kripto para birimidir” dediler. “Ayrıca uygulamaya özel tümleşik devre (ASIC) madencilerine karşı daha dirençli olacak şekilde tasarlandı, bu da yalnızca tüketici sınıfı donanımla karlı bir şekilde madencilik yapmayı mümkün kılıyor.”
FortiGuard analistleri, RapperBot’ta yeni bir şeyler olduğunu ilk olarak Ocak ayı sonlarında, kötü amaçlı yazılım için yaygın olandan çok daha büyük bir x64 örneği topladıklarında fark ettiler.
“Ayrıntılı analizlerde, bot geliştiricilerinin madencilik yeteneklerine sahip birleşik bir bot istemcisi oluşturmak için RapperBot C kaynak kodunu XMRig Monero madencisinin C++ koduyla birleştirdiğini doğruladık.”
Analize göre, ikisini ayrı ayrı konuşlandırmak yerine birleştirmek birkaç avantaj sunuyor. Birincisi, operatörlerin madencilik kapasitesini botnet’in mevcut SSH kaba zorlama veya kendi kendine yayılma yeteneklerine bindirmesine olanak tanır – XMRig’in yerel olarak bunlardan hiçbirine sahip olmadığı göz önüne alındığında yararlıdır. Bu şekilde, madenciyi her bir makineye manuel olarak yüklemek için botnet enfeksiyonlarının arkasını takip etmek zorunda kalmazlar.
Ayrıca, “bot ve madenci kodunun birleştirilmesi, madencilik havuzlarını ve Monero cüzdan adreslerini aynı çift katmanlı XOR kodlamasını kullanarak gizleme girişimi olabilir, böylece açık bir şekilde açığa çıkmazlar” diye eklediler.
Bir DDoS-Cryptojacking Hibriti Oluşturmak için Özel Modlar
FortiGuard’a göre, karma ikili dosyayı oluşturmak için RapperBot yazarlarının birkaç önemli kod değişikliği yapması gerekiyordu. Birincisi, XMRig’in harici yapılandırma dosyalarını okuma yeteneğinin kaldırılması gerekiyordu, böylece varsayılan olarak her zaman botnet ikili dosyasında yerleşik olan yapılandırmayı kullanmaktı.
Araştırmacılar, “Bot, madencilik havuzlarının ve Monero cüzdan adreslerinin kodunu çözer ve yerleşik madenciyi başlatmadan önce sabit kodlanmış yapılandırmayı günceller.” “Madenci aynı zamanda hem fazlalık hem de ek gizlilik için birden fazla madencilik havuzu kullanacak şekilde yapılandırılmıştır. Bunlardan ikisi, RapperBot C2 IP’sinin kendisinde barındırılan madencilik proxy’leridir. Bu, tehdit aktörünün hem cüzdan adreslerini hem de gerçek madencilik havuzlarını madenciden çıkarmasına olanak tanır. yapılandırma.”
Diğer değişiklikler arasında, bilgili kurbanlara aktivite hakkında bilgi vermemek için XMRig’in iyi bilinen varsayılan sinyal işleyicilerinin kaldırılması; kolay tanımlamayı önlemek için sürüm bilgisinde “XMRig” yerine “asbuasdbu” yazıldı; ve güvenlik ürünleri ve diğer cryptojacking gruplarından rakip madenciler tarafından tespit edilmemesi muhtemel olan belirli kullanım bilgileri kaldırılmıştır.
Madencinin özel sürümü ayrıca, madencilik verimliliğini en üst düzeye çıkarmak için makinede bulduğu tüm rakip madencileri (ve diğer bazı kara listeye alınmış işlemleri) öldüren ölümcül bir çizgiye sahiptir.
FortiGuard’a göre, “Kullanılan anahtar kelimelere dayanarak, bot geliştiricileri diğer madencileri diğer IoT botlarından daha fazla sonlandırmakla ilgileniyorlar.” “Bu, en azından x64 makinelerinde, cryptojacking’e karşı DDoS saldırılarına odaklandıklarını yeniden teyit ediyor.”
RapperBot Enfeksiyonları Nasıl Önlenir?
RapperBot yazarları, kötü amaçlı yazılımlarını düzenli olarak geliştirir; FortiGuard araştırmacılarının önceki analizleri, virüs bulaşmış makinelerde yeniden başlatmanın ardından bile kalıcılığı sürdürme ve ardından uzak bir ikili indirici aracılığıyla kendi kendine yayılmayı etkinleştirme gibi yetenekler eklediklerini keşfettiler. Araştırmacılar, daha sonra, kötü amaçlı yazılım yazarlarının kendi kendini yayma özelliğini kaldırdığını ve kaba kuvvetle çalışan SSH sunucularına kalıcı uzaktan erişime izin veren bir özellik eklediğini belirtti.
Bununla birlikte, ilk erişim stratejisinin kaba kuvvet yönü, RapperBot’un değişikliklere rağmen engellemesini mümkün kıldığını açıkladılar. Çok basit: iyi parola hijyeni.
En son gönderide “RapperBot, sürekli güncellemeleri nedeniyle tehlikeli bir tehdit olmaya devam ediyor” dediler. “Zayıf veya varsayılan parolalar kullanarak SSH hizmetlerinden ödün vermeye yönelik birincil bulaşma vektörü aynı kaldığından, genel anahtar kimlik doğrulamasını etkinleştirerek veya İnternet’e bağlı tüm cihazlar için güçlü parolalar belirleyerek bu tehdidin azaltılmasında hala etkilidir.”