JavaScript is currently disabled.Please enable it for a better experience of Jumi.

Tietoturvayritys Fortinet löysi kesäkuun puolivälissä uuden haittaohjelman, joka perustuu lähdekoodiltaan pääosin Mirai-bottiin. RapperBot-nimen saanut koodi yrittää murtaa Linux-palvelimien SSH-salausta ja päästä käsiksi palvelimien käyttäjätietoihin.

Fortinetin mukaan uudemmat versiot viittaavat siihen, että bottiin on lisätty sen pysyvyyttä parantavia osia. RapperBot siis vastustaa suojausyrityksiä paremmin kuin Telnet-yhteyksiin murtautunut Mirai.

Lisäanalyysin jälkeen Fortinetin tutkijat havaitsivat, että RapperBot-haittaohjelmaperhe on suunniteltu toimimaan ensisijaisesti SSH:n brute force -tyyppisessä murtamisessa rajoitetuilla DDoS-ominaisuuksilla. Kuten useimmille IoT-haittaohjelmille on tyypillistä, se kohdistuu Arm-, MIPS-, SPARC- ja x86-arkkitehtuureihin.

RapperBot käyttää uudelleen isoja osia Mirai-lähdekoodista, mutta sen ominaisuudet ja toteutustiedot, kuten Command & Control (C2) -komentoprotokolla, eroavat merkittävästi alkuperäisistä Mirai-pohjaisista ja FortiGuard Labsin valvomista tyypillisistä Mirai-pohjaisista versioista.

Toisin kuin suurin osa Mirai-versioista, jotka pakottavat Telnet-palvelimia luonnollisesti oletus- tai heikkosalasanoilla, RapperBot skannaa ja yrittää raa'asti pakottaa SSH-palvelimia, jotka on määritetty hyväksymään salasanatodennus. Suurin osa haittaohjelmakoodista sisältää SSH 2.0 -asiakkaan toteutuksen, joka voi muodostaa yhteyden ja pakottaa kaikki SSH-palvelimet, jotka tukevat Diffie-Hellmann-avainten vaihtoa 768- tai 2048-bittisillä avaimilla ja tietojen salausta AES128-CTR:n avulla.

Aiemmissa näytteissä raa'an pakottavan tunnisteluettelo oli kovakoodattu binaarikoodiin. Heinäkuusta eteenpäin näytteet hakevat tämän luettelon toisesta C2-palvelimen portista. Tämä antaa hyökkääjille mahdollisuuden lisätä jatkuvasti uusia SSH-tunnuksia tarvitsematta päivittää tartunnan saaneita laitteita uusilla näytteillä. Kun RapperBot murtautuu SSH-palvelimelle, kelvolliset tunnistetiedot raportoidaan C2-palvelimelle erillisen portin kautta.

Lisätietoja Fortinetin raportista.

Kuva: AdobeStock

ETNtv

Watch ECF videos

Korteilla vauhtia IoT-kehitykseen

Sulautetun laitteen kehitys onnistuu useimmiten helpoiten valmiiden moduulien avulla. Nykyään niitä saa myös tehokkailla Apollo Lake -sarjan prosessoreilla varustettuna.

Lue lisÀÀ...

Suomen suurin valtti kybersodassa on luottamus

Teknologia19 – Aalto-yliopiston kyberturvallisuusprofessori Jarno Limnéll uskoo, että luotettavuudesta voi tulla suomalaisten yritysten suurin myyntivaltti tulevaisuudessa. – Tärkein kysymys on tulevaisuudessa, kehen ja mihin voimme luottaa. Luottamuksesta on tulossa hyvin arvokas aineeton pääoma yrityksille, Limnéll sanoi eilen messukeskuksessa.

Lue lisÀÀ...

LATEST NEWS

NEW PRODUCTS

 

NEWSFLASH

ETN_fi OnePlus 10T amazes with 150W charging. @etn.fi Instagram-kuva https://t.co/MhHfvlpuGa
ETN_fi X-DRAM might revolutionize memory tech! @etn.fi Instagram-kuva https://t.co/tb16t6iRKx
ETN_fi New battery tech will grow EV range to over 1000 km. @etn.fi Instagram-kuva https://t.co/cg1jCCclMm
ETN_fi New material to replace silicon in semiconductors! @etn.fi Instagram-kuva https://t.co/itbTaYOJ9k
ETN_fi 5.5G brings 10 Gbit connections, Huawei believes. @etn.fi Instagram-kuva https://t.co/4OV6b6ipUW
Sponsors


Gold Sponsors

Silver Sponsors





ECF template