Linux-Malware "RapperBot" zwingt SSH-Server zum Einbruch

Die Bedrohungsjäger von Fortinet haben ein neues Botnetz mit dem Namen "RapperBot" aufgedeckt. Die Malware, die seit Mitte Juni 2022 im Einsatz ist, hat es auf Linux-SSH-Server abgesehen und versucht mit Brute-Force-Methoden, sich Zugang zu einem Gerät zu verschaffen.

Bei Brute-Force-Angriffen geht es im Wesentlichen um das "Erraten" von Benutzernamen und Kennwörtern, um unbefugten Zugriff auf ein System zu erhalten.

"Im Gegensatz zu den meisten Mirai-Varianten, die von Haus aus Telnet-Server mit Standard- oder schwachen Passwörtern aushebeln, scannt RapperBot ausschließlich SSH-Server, die so konfiguriert sind, dass sie eine Passwort-Authentifizierung akzeptieren, und versucht, diese aushebeln. Der größte Teil des Malware-Codes enthält eine Implementierung eines SSH 2.0-Clients, der eine Verbindung zu jedem SSH-Server herstellen und ihn mit roher Gewalt aushebeln kann, der Diffie-Hellmann-Schlüsselaustausch mit 768-Bit- oder 2048-Bit-Schlüsseln und Datenverschlüsselung mit AES128-CTR unterstützt", heißt es im Fortinet-Bericht.

RapperBot wird verwendet, um sich zunächst Zugang zu Servern zu verschaffen, die dann dazu genutzt werden, sich innerhalb eines Netzwerks zu bewegen. RapperBot hat begrenzte DDoS-Fähigkeiten und wurde von Forschern in freier Wildbahn entdeckt.

Den Forschern zufolge verfügt RapperBot über eigene Kommando- und Kontrollprotokolle (C2) und andere einzigartige Funktionen.

Um Brute-Force-Systeme zu erzwingen, verwendet die Malware eine Liste von Anmeldedaten, die sie vom C2-Host herunterlädt - einmalige TCP-Anfragen. Im Erfolgsfall meldet sich die Malware dann beim C2 zurück.

Im Rahmen der laufenden Untersuchung verwendet RapperBot einen Selbstverbreitungsmechanismus über einen Remote-Binär-Downloader.

Neue Stämme von RapperBot verwenden ausgefeilte Techniken, um Systeme mit roher Gewalt zu infiltrieren. In aktuellen Beispielen fügt der Bot den Root-Benutzer "suhelper" auf den kompromittierten Endpunkten hinzu. Der Bot erstellt außerdem einen Cron-Job, der den Benutzer jede Stunde neu hinzufügt, wenn ein Administrator das Konto entdeckt und es löscht.

Es ist wichtig anzumerken, dass der Einsatz von RapperBot weitgehend unbekannt bleibt, vor allem weil seine DDoS-Funktionalität begrenzt ist, was für Botnets sehr ungewöhnlich ist. Eine sorgfältige Untersuchung zeigt jedoch, dass sich die Malware nur auf den infizierten Linux-Rechnern einnistet und ausruht.

Zu den Quellen für diesen Beitrag gehört ein Artikel in Cybersecuritynews.