基于 Mirai 的僵尸网络“RapperBot”重新出现,通过感染物联网设备对游戏服务器进行 DDoS(分布式拒绝服务)攻击的新活动。
该恶意软件于去年 8 月被 Fortinet 研究人员发现, 当时它使用 SSH 暴力破解在 Linux 服务器上传播。
通过追踪其活动,研究人员发现 RapperBot 自 2021 年 5 月以来一直在运行,但其确切目标难以破译。
最近的变体使用了 Telnet 自我传播机制,这更接近于原始 Mirai 恶意软件的方法。
此外,当前活动的动机更加明显,因为最新变体中的 DoS 命令专为攻击托管在线游戏的服务器而设计。
揭开 RapperBot 的盖子
Fortinet 分析师可以使用在之前的活动中收集的 C2 通信工件对新变体进行采样,表明僵尸网络操作的这一方面没有改变。
分析师注意到新变种有几个不同之处,包括使用以下命令支持 Telnet 暴力破解:
- 注册(客户端使用)
- 保持活动状态/什么都不做
- 停止所有 DoS 攻击并终止客户端
- 执行 DoS 攻击
- 阻止所有 DoS 攻击
- 重启telnet暴力破解
- 停止 Telnet 暴力破解
该恶意软件试图使用来自硬编码列表的常见弱凭据来暴力破解设备,而之前,它是从 C2 获取列表。
“为了优化暴力破解工作,恶意软件将连接时的服务器提示与硬编码字符串列表进行比较,以识别可能的设备,然后只尝试该设备的已知凭据,” Fortinet 解释说。
“与不太复杂的物联网恶意软件不同,这允许恶意软件避免尝试测试完整的凭据列表。”
成功找到凭据后,它会通过端口 5123 将其报告给 C2,然后尝试为检测到的设备架构获取并安装正确版本的主要有效负载二进制文件。
目前支持的架构有 ARM、MIPS、PowerPC、SH4 和 SPARC。
RapperBot 旧变体中的 DoS 功能非常有限且通用,以至于研究人员假设其操作员可能对初始访问业务更感兴趣。
然而,在最新的变体中,恶意软件的真实性质随着大量 DoS 攻击命令的添加变得显而易见,例如:
- 通用 UDP 泛洪
- TCP SYN 洪水
- TCP ACK泛洪
- TCP STOMP 泛洪
- UDP SA:MP flood 针对运行 GTA San Andreas: Multi Player (SA:MP) 的游戏服务器
- GRE 以太网泛洪
- GRE IP泛洪
- 通用 TCP 泛洪
基于 HTTP DoS 方法,该恶意软件似乎专门针对游戏服务器发起攻击。
“这次活动增加了针对 GRE 协议和 Grand Theft Auto:San Andreas Multi Player (SA:MP) mod 使用的 UDP 协议的 DoS 攻击,”Fortinet 的报告中写道。
可能是相同的运营商
Fortinet 认为所有检测到的 RapperBot 活动都是由相同的操作员精心策划的,因为较新的变体表明可以访问恶意软件的源代码。
此外,C2 通信协议保持不变,用于暴力破解尝试的凭据列表自 2021 年 8 月以来一直保持不变,目前没有活动重叠的迹象。
为保护您的 IoT 设备免受僵尸网络感染,请保持固件最新,使用强而独特的密码更改默认凭据,并尽可能将它们放在防火墙后面。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 网络僵尸RapperBot通过感染物联网设备对游戏服务器进行DDoS攻击
