Torii僵尸网络 最复杂的物联网僵尸网络

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Torii僵尸网络 最复杂的物联网僵尸网络

安全研究人员发现了一种新的物联网僵尸网络,被追踪为Torii,它看起来更复杂,并且隐藏了之前分析过的众多Mirai变种。

根据Avast的专家的说法,Torii机器人至少在2017年12月开始运行,它可以针对广泛的架构,包括ARM,MIPS,x86,x64,PowerPC和SuperH。

Torii物联网僵尸网络因其能够定位的最大型架构而脱颖而出。

过去一周,我们一直在观察一种新的 恶意软件 ,我们称之为Torii,它与我们所知道的Mirai和其他僵尸网络不同,特别是在它使用的先进技术中。阅读Avast发布的分析

不同于上述物联网的僵尸网络,这样一个试图更加隐蔽和持久性,一旦设备被破坏,它 不 (还)做平常的东西僵尸网络确实像 DDOS,攻击所有连接到互联网的设备,或者,当然,挖掘加密货币。

据专家介绍,Torii僵尸网络被用于从受感染的物联网设备中窃取数据。机器人从受感染的设备中泄露了几个数据,包括主机名和进程ID。

恶意代码具有模块化结构,能够获取和执行其他命令和可执行文件,它利用多层加密通信来避免检测。

Torii僵尸网络的另一个特点是它实现了六种以上的方法来实现对受感染设备的持久性。

之后,dropper确保执行第二阶段有效负载并保持持久性。它的独特之处在于它如何实现持久性非常彻底。继续分析。

它使用至少六种方法来确保文件保留在设备上并始终运行。并且,不仅仅执行一个方法 - 它运行 所有 方法。

通过注入的代码自动执行〜\ .bashrc
通过crontab中的@reboot子句自动执行
通过 systemd 自动执行系统守护程序服务
通过/ etc / init和PATH自动执行。再一次,它称自己为系统守护进程
通过修改SELinux策略管理自动执行
通过/ etc / inittab 自动执行
Torii感染Telnet公开并受弱凭证保护的设备,它首先执行用于确定目标体系结构的复杂脚本。

然后,该脚本下载第一阶段有效负载,该有效负载充当第二阶段有效负载的dropper。

专家表示,僵尸组件与CnC进行通信,并在无限循环中进行主动轮询,等待命令执行。一旦执行该命令,机器人将回复其执行结果。

专家分析的样本正在与位于亚利桑那州的命令和控制服务器进行通信。

在分析时,Telnet是机器人用来危害其他设备的唯一向量。

根据BleepingComputer的说法,意大利网络安全专家Marco Ramilli也对恶意代码进行了分析,他注意到了与Persirai的相似之处 。

即使我们的调查仍在继续,但很明显Torii是物联网恶意软件发展的一个例子,它的复杂程度高于我们之前看到的水平。分析总结道。

一旦它感染了一个设备,它不仅会发送很多关于它驻留在 CnC 上的机器的信息,而且通过与 CnC 通信,它允许Torii作者执行任何代码或将任何有效载荷传递给受感染的设备。这表明Torii可能成为未来使用的模块化平台。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: