Nul
En ny botnet, som har specialiseret sig i kompromis af Internet of Things (IoT) – enheder har været opdaget, som indeholder et hidtil uset niveau af raffinement.
De botnet, døbt Torii, er et snit over både Mirai og QBot varianter, ifølge forskere fra Avast, som det besidder raffinement “et niveau frem for noget vi har set før.”
Først opdaget af en sikkerhedsekspert, der går under Twitter håndtere VessOnSecurity, en stamme af Torii blev opdaget efter at ramme en af forskerens honeypots.
“Manuskriptet er ganske sofistikeret, i modsætning til den sædvanlige Mirai lort,” Vess tweeted. “Forfatteren er ikke dit gennemsnitlige script kiddie Mirai modder.”
Avast ‘s undersøgelse af botnet afsløret, at Torii har sandsynligvis været udviklet af en person med en grundig forståelse af, hvordan botnets drive, snarere end at tage bolt-on tilgang, vi har set gennem de seneste Mirai varianter, gjort muligt efter offentliggørelsen af den IoT-botnet’ s kildekode i 2016.
Den sikkerhed, virksomheden siger, at Torii adskiller sig ikke kun på sofistikerede, men også de forskellige “avancerede teknikker”, som det bruger.
“[Torii] kommer med et ganske rigt sæt af funktioner for exfiltration af (følsomme) oplysninger, modulær arkitektur i stand til at hente og udføre andre kommandoer og programmer, og det er alt via flere lag af krypteret kommunikation,” Avast siger.
Se også: Ti hacker bygger Huawei-baseret botnet, slavebinder på 18.000 enheder på én dag
De botnet, der menes at have været i drift siden 2017, har også rettet mod kapaciteter, som ikke ses ofte i botnet varianter. Systemet er i stand til at inficere arkitekturer, herunder MIPS ARM, x86, x64, PowerPC, og SuperH, blandt andre.
CNET: Vi kan ikke stoppe botnet-angreb alene, siger den AMERIKANSKE regering rapport
Opdagelsen af botnet var baseret på Telnet-angreb på vej fra Tor exit nodes. Botnet er i stand til at drage fordel af brugen af svage legitimationsoplysninger i tingenes internet devices til at gå på kompromis systemer, før du udfører et shell script, der forsøger at registrere og optimering af et mål-enheden, før du henter en passende malware nyttelast.
Torii vil udnytte en række kommandoer, “wget”, “cgisearch, webname”, “ftp”, “busybox wget,” eller “bsh cgisearch, webname,” for at sikre, nyttelast levering.
Hvis binære filer kan ikke downloades via HTTP, botnet vil bruge FTP-protokollen. I sidstnævnte tilfælde, botnet vil bruge legitimationsoplysninger, der er indlejret i shell script til at oprette forbindelse til en FTP-server via en IP-som stadig er aktiv i skrivende stund.
Den binære filer er pipetter til anden nyttelast, som begge er vedvarende.
Torii bruger mindst seks metoder til at fastholde vedholdende på en kompromitteret enhed og kører dem alle på samme tid:
Automatisk udførelse via injiceres kode i ~.bashrcAutomatic udførelse via “@reboot” klausul i crontabAutomatic udførelse som en “System-Daemon” service via systemdAutomatic udførelse via /etc/init og STI. Igen, det kalder sig “System-Daemon”Automatisk udførelse via ændring af SELinux-Politik ManagementAutomatic udførelse via /etc/inittab
Den anden fase nyttelast derefter udfører. Dette er den største botnet, som er i stand til at oprette forbindelse til operatørens command-and-control (C2) server — af hvilke mindst tre adresser, der er i drift — exfiltrate data, kryptere kommunikation, og udnytte anti-debugging teknikker.
TechRepublic: 6 grunde til, at vi har undladt at stoppe botnets
Torii kommunikerer med sine C2 via TCP-port 443, men Avast mener, at dette “som et bedrag”, som TLS-protokollen ikke er i brug. Snarere, botnet “tager fordel af den fælles brug af denne port til HTTPS-trafik.”
Botnet er sofistikeret, men til trods for potentielt at være aktiv siden sidste år, ikke opfører sig som en standard botnet, der er involveret i Distribuerede Denial-of-Service (DDoS) angreb eller cryptojacking, og dets overordnede formål er stadig et mysterium.
På tidspunktet for opdagelsen, VirusTotal ikke flag op to af botnet-er eksekverbare filer som ondsindet. Men i skrivende stund, 19 antivirus motorer nu afsløre en af de filer, der henviser til en anden er kun registreres ved fem motorer.
Tidligere og relaterede dækning
Dette russisk botnet efterligner dine klik her for at forhindre, at Android-enhed fabrik, nulstilles Bizar botnet inficerer din PC til at skrubbe væk cryptocurrency minedrift malware Pc ‘ er stadig inficeret med Andromeda botnet malware, på trods af takedown
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0