Zero
Una nuova botnet che si specializza nel compromesso di Internet delle Cose (IoT) dispositivi è stato scoperto che contiene senza precedenti livelli di sofisticazione.
La botnet, soprannominato Torii, è un taglio sopra il Mirai e QBot varianti, secondo i ricercatori di Avast, come è in possesso di sofisticazione “un livello al di sopra di qualsiasi cosa abbiamo visto prima.”
Scoperto da un ricercatore di sicurezza che va sotto la maniglia Twitter VessOnSecurity, un ceppo di Torii è stato rilevato dopo aver colpito uno dei ricercatori honeypot.
“La sceneggiatura è abbastanza sofisticato, a differenza del solito Mirai merda”, Vess twitter. “L’autore non è la vostra media script kiddie Mirai modder.”
Avast esame della botnet ha rivelato che Torii che probabilmente è stata sviluppata da qualcuno con una conoscenza approfondita di come botnet operare, piuttosto che prendere il bolt-on di approccio che abbiamo visto attraverso i recenti Mirai varianti, resa possibile dopo il rilascio pubblico della IoT botnet codice sorgente nel 2016.
La società di sicurezza dice che Torii è diverso non solo in termini di raffinatezza, ma anche la varietà di “tecniche avanzate” che utilizza.
“[Torii] viene fornito con un molto ricco set di funzionalità per esfiltrazione (sensibili) informazioni architettura modulare in grado di scaricare e l’esecuzione di altri comandi e file eseguibili e tutto questo attraverso più livelli di comunicazione crittografata,” Avast dice.
Vedi anche: IoT hacker costruisce Huawei a base di botnet, schiavizza i 18.000 dispositivi in un giorno
La botnet, crede di essere stato in funzione dal 2017, ha anche funzionalità di targeting non è spesso visto in botnet varianti. Il sistema è in grado di infettare le architetture tra cui MIPS, ARM, x86, x64, PowerPC, e per superh, tra gli altri.
CNET: non Possiamo fermare attacchi botnet da solo, dice il governo report
La scoperta della botnet basate su Telnet gli attacchi provenienti da exit node Tor. La botnet è in grado di sfruttare l’uso di deboli credenziali di dispositivi IoT per compromettere i sistemi prima di eseguire uno script di shell che tenta di rilevare l’architettura di un dispositivo di destinazione, prima di scaricare un apposito payload di malware.
Torii potranno utilizzare una serie di comandi, “wget”, “ftpget”, “ftp”, “busybox ” wget”,” o “busybox ftpget,” per garantire un carico utile di consegna.
Se i binari non può essere scaricato tramite HTTP, la botnet di usare il protocollo FTP. In quest’ultimo caso, la botnet utilizzerà le credenziali incorporato nella shell script per connettersi a un server FTP tramite un IP che è ancora attivo al momento della scrittura.
I binari sono dropper per il secondo payload, entrambi i quali sono persistenti.
Torii utilizza almeno sei metodi per mantenere la persistenza di un dispositivo compromesso e gira tutti nello stesso momento:
Esecuzione automatica tramite il codice inserito in ~.bashrcAutomatic esecuzione tramite “@reboot” clausola di crontabAutomatic esecuzione come un “Demone di Sistema” servizio via systemdAutomatic esecuzione via /etc/init e il PERCORSO. Ancora una volta, si chiama “Demone di Sistema”esecuzione Automatica tramite la modifica della Politica di SELinux ManagementAutomatic esecuzione via /etc/inittab
La seconda fase di carico utile, e poi le esegue. Questo è il principale botnet che è in grado di connettersi all’operatore di comando e controllo (C2) server-di cui almeno tre sono gli indirizzi in funzionamento — sottrarre dati, la comunicazione crittografata, e utilizzare l’anti-tecniche di debug.
TechRepublic: 6 motivi per cui abbiamo non è riuscito a fermare le botnet
Torii comunica con i suoi C2 tramite la porta TCP 443, tuttavia, Avast considera “come un inganno”, come il protocollo TLS non è in uso. Piuttosto, la botnet”, sfrutta [del] comune utilizzare questa porta per il traffico HTTPS.”
La botnet è sofisticato, ma nonostante potenzialmente attivo dall’anno scorso, non si comporta come un normale botnet coinvolti Distributed Denial-of-Service (DDoS) o cryptojacking, e il suo scopo principale, è ancora un mistero.
Al momento della scoperta, VirusTotal non ha bandiera a due a due le botnet file eseguibili come dannoso. Tuttavia, al momento della scrittura, 19 motori antivirus di rilevare uno dei file, mentre un altro viene rilevato solo da cinque motori.
Precedente e relativa copertura
Questo russo botnet imita il clic di prevenire i dispositivi Android ripristino di fabbrica Bizzarro botnet infetta il PC a macchia di distanza cryptocurrency di data mining malware Pc è ancora infetto con Andromeda botnet e malware, nonostante takedown
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0