【私有化】RapperBot暴力破解伺服器入侵後可趕出已授權設備
Mirai 殭屍網絡曾於 2016 年造成極大破壞,多間公司被攻擊至癱瘓。一款幾乎與它一樣的殭屍網絡 RapperBot 就在今年 6 月出現,而且它具備更強功能,可以暴力破解 Linux 伺服器的密碼,強行控制設備,如伺服器密碼太弱,是時候要修改。
IoT(物聯網)設備用途廣泛,幾乎各行各業也都需要使用,不過由於生產商質素參差,即使被發現有安全漏洞,也未必會為產品提供安全更新;另一方面,安全程度亦要視乎用家的態度,例如有沒有為產品安裝更新檔案堵塞漏洞,以及會否為帳戶設定高強度密碼等,以上種種因素都有可能為黑客打開入侵的方便之門。 而在今年 6 月中,一款名為 RapperBot 的殭屍網絡惡意軟件首次被發現,專家在分析它的程式碼後,發現它幾乎是將另一著名殭屍網絡惡意軟件 Mirai 的程式碼直搬而來,不過,它的特別之處是 RapperBot 具備暴力破解 (brute-force) 伺服器帳戶登入資料能力,而且還可將原有管理員及登記用家踢走,令黑客可隨時命令伺服器發動 DDoS 攻擊。
Fortinet FortiGuard Labs 在發表的報告內解釋,RapperBot 在早期的版本內貼有一首上載在 YouTube 的 rap 音樂連結,因此才有這個名稱,它在近兩個月內不斷升級,進化成可暴力破解伺服器入侵。當受感染的 IoT 接收到來自 RapperBot C&C 控制中心的指令,便會嘗試以儲存的帳戶登入資料列,向目標 Linux 伺服器發動攻擊,只要對方的帳戶採用原廠設定密碼或弱密碼,RapperBot 便可順利破解入侵,並第一時間將新感染伺服器的登入帳戶資料回傳控制中心。
成功入侵後,RapperBot 便會將黑客的 SSH public key 寫入 cat ~/.ssh authorized_keys 這個專門儲存已被授權金鑰的檔案內,日後黑客便可憑相對應的 private key 自由出入伺服器,即使受感染伺服器的帳戶登入資料被修改,也無法阻止黑客入侵。同一時間,黑客還可將 authorized keys 檔案複寫,令其他已授權設備無法再次登入,完全私有化這個伺服器。專家指現時黑客的目標還未清晰,因為控制了 SSH 伺服器後未有進一步行動。而阻止這種攻擊,專家建議企業應設定強密碼,又或將以密碼形式驗證的方式關閉。
相關文章:【快速變陣】Realtek嚴重漏洞詳情曝光 Mirai火速瞄準受影響200款產品https://www.wepro180.com/realtek210826/