Novo malware Linux força servidores SSH a violar redes

29/08/2022 mindsecblog Notícias 0

Novo malware Linux força servidores SSH a violar redes. Um novo botnet chamado ‘RapperBot‘ está sendo usado em ataques desde meados de junho de 2022, concentrando-se em forçar o acesso aos servidores SSH Linux para estabelecer uma posição no dispositivo.

Os pesquisadores mostram que o RapperBot é baseado no trojan Mirai, mas se desvia do comportamento normal do malware original, que é a propagação descontrolada para o maior número possível de dispositivos.

Em vez disso, o RapperBot é mais controlado, tem recursos DDoS limitados e sua operação parece voltada para o acesso inicial ao servidor, provavelmente usado como trampolim para o movimento lateral dentro de uma rede.

Nos últimos 1,5 meses desde sua descoberta, o novo botnet usou mais de 3.500 IPs exclusivos em todo o mundo para verificar e tentar servidores SSH Linux de força bruta.

Baseado em Mirai, mas diferente

A nova botnet foi descoberta por caçadores de ameaças da Fortinet, que notaram que o malware IoT apresentava algumas strings incomuns relacionadas a SSH e decidiram investigar mais.

O RapperBot provou ser um fork do Mirai, mas com seu próprio protocolo de comando e controle (C2), recursos exclusivos e atividade pós-comprometimento atípica (para um botnet).

“Ao contrário da maioria das variantes do Mirai, que nativamente servidores Telnet de força bruta usando senhas padrão ou fracas, o RapperBot verifica e tenta exclusivamente servidores SSH de força bruta configurados para aceitar autenticação de senha”, explica o relatório da Fortinet .

“A maior parte do código do malware contém uma implementação de um cliente SSH 2.0 que pode conectar e forçar qualquer servidor SSH que suporte a troca de chaves Diffie-Hellmann com chaves de 768 bits ou 2048 bits e criptografia de dados usando AES128-CTR”.

A força bruta SSH depende de uma lista de credenciais baixadas do C2 por meio de solicitações TCP exclusivas do host, enquanto o malware relata ao C2 quando é bem-sucedido.

Os pesquisadores da Fortinet seguiram o bot e continuaram a experimentar novas variantes, notando que o RapperBot usava um mecanismo de autopropagação por meio de um downloader binário remoto, que foi removido pelos agentes de ameaças em meados de julho.

As variantes mais recentes que circulavam na época apresentavam um comando shell que substituiu as chaves SSH da vítima pelas do ator, estabelecendo essencialmente a persistência que é mantida mesmo após a alteração da senha SSH.

Além disso, o RapperBot adicionou um sistema para anexar a chave SSH do ator às “~/.ssh/authorized_keys” do host, o que ajuda a manter o acesso no servidor entre reinicializações ou mesmo se o malware for encontrado e excluído.

Nas amostras mais recentes analisadas pelos pesquisadores, o bot adiciona o usuário root “suhelper” nos endpoints comprometidos e cria um trabalho Cron que adiciona novamente o usuário a cada hora caso um administrador descubra a conta e a exclua.

Visão geral do ataque do RapperBot (Fortinet)

Além disso, vale a pena notar que os autores do malware adicionaram camadas extras de ofuscação às strings em amostras posteriores, como a codificação XOR.

Ofuscação de string adicionada em variantes posteriores (Fortinet)

Objetivo do RapperBot

A maioria dos botnets executa ataques DDoS ou se envolve em mineração de moedas, sequestrando os recursos computacionais disponíveis do host, e alguns fazem as duas coisas.

O objetivo do RapperBot, no entanto, não é evidente, pois os autores mantiveram suas funções DDoS limitadas e até as removeram e as reintroduziram em algum momento.

Além disso, a remoção da autopropagação e a adição de mecanismos de persistência e prevenção de detecção indicam que os operadores da botnet podem estar interessados em vendas de acesso inicial para agentes de ransomware.

A Fortinet relata que seus analistas não viram cargas adicionais entregues após o comprometimento durante o período de monitoramento, então o malware apenas se aninha nos hosts Linux infectados e fica inativo.