Haziran 2022’nin ortasından bu yana, RapperBot adlı yeni bir botnet tarafından birkaç siber saldırı gerçekleştirildi. Botnet, esas olarak, kaba zorlama yoluyla Linux SSH sunucularında bir dayanak oluşturmaya çalışır.
Bu yeni botnet, RapperBot tamamen Fortinet’teki siber güvenlik araştırmacıları tarafından keşfedilen Mirai truva atına dayanıyor. Ancak, bu kötü amaçlı yazılımın davranışı, orijinal kötü amaçlı yazılımın normal davranışından farklıdır.
RapperBot üzerinde daha sıkı kontrol vardır ve ayrıca sınırlı bir DDoS özelliğine sahiptir. Tipik olarak, bir ağ içinde yanal hareketi kolaylaştırmak için kullanılır ve bu işlem sırasında bir basamak taşı olarak kullanılır.
Yeni botnet, keşfedilmesinden bu yana yaklaşık 1,5 aydır halka açık durumda ve dünya çapındaki Linux SSH sunucularını tarıyor ve kaba zorluyor.
RapperBot: Mirai Tabanlı Bir Botnet
RapperBot’u Mirai’nin en ilginç çatallarından biri yapan birkaç bileşeni vardı ve bunlar: –
- C2 protokolü
- Benzersiz özellikler
- Tipik taviz sonrası aktivite
RapperBot, yalnızca parola doğrulaması gerektiren SSH sunucularını taradığı ve onları kaba kuvvete zorlamaya çalıştığı için Mirai varyantlarının çoğundan çok farklıdır.
Fortinet raporuna göre, Kötü amaçlı yazılımın içinde, kötü amaçlı yazılım kodunun büyük kısmını oluşturan bir SSH 2.0 istemcisi uygulayan büyük miktarda kod var. Diffie-Hellmann anahtar değişimlerini destekleyen bir dizi SSH sunucusu vardır ve bu sunucular aşağıdaki anahtarlarla onlara bağlanmak ve kaba kuvvet uygulamak için kullanılabilir: –
- 768 bit anahtarlar
- 2048 bit anahtarlar
- AES128-CTR (Veri şifreleme için)
Ana bilgisayara benzersiz TCP istekleri aracılığıyla, C2’den bir kimlik bilgileri listesi indirilir ve SSH kaba zorlaması bu indirilen listeye bağlıdır. Görevi başarıyla tamamladıktan sonra kötü amaçlı yazılım raporu C2’ye geri gönderilir.
Daha yeni varyantlarda, bir kabuk komutu kullanılarak saldırganın SSH anahtarları kurbanınkilerle değiştirildi. Ayrıca, RapperBot, aktörün SSH anahtarını ana bilgisayara ekleyen SSH anahtarı eki adlı ek bir modül kurar: “~/.ssh/yetkili_anahtarlar.”
Bu özelliğe sahip olmak, yeniden başlatma sonrasında veya kötü amaçlı yazılım sunucudan kaldırılmış olsa bile sunucuya erişimin sürdürülmesine olanak tanır.
Daha sonraki örneklerde, kötü amaçlı yazılımın geliştiricileri, bunların tespit edilemez olarak kalabilmelerini sağlamak için dizelere bazı ek gizleme katmanları eklemiştir, örneğin:-
Botnet’ler en çok DDoS saldırıları başlatmak veya ağda madeni para çıkarmak için kullanılır. RapperBot’un sınırlı bir DDoS işlevi olduğu için, RapperBot’un yazarları, amaçlarının ne olduğunu çok net bir şekilde açıklamadılar.
Esasen, bu tehdit, birincil yayılma yöntemi olarak kaba zorlamalı SSH kimlik bilgilerine dayandığı için kolayca hafifletilebilir. Bu kötü amaçlı yazılımı azaltmak için uygulamanız gereken bazı öneriler şunlardır: –
- Güçlü ve benzersiz şifreler belirleyin.
- SSH için parola doğrulamasını devre dışı bırakın.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.