Noll
En ny botnät som specialiserat sig på kompromiss av Internet of Things (IoT) – enheter har upptäckts som innehåller aldrig tidigare skådade nivåer av förfining.
Botnät, dubbade Torii, är ett snitt över både sin Syster och QBot varianter, enligt forskare från Avast, som det har finess “en nivå över något vi har sett förut.”
Först upptäcktes av en säkerhetsforskare som går under Twitter handtag VessOnSecurity, en stam av Torii upptäcktes efter att träffa en av forskarens honeypots.
“Manuset är ganska sofistikerade, till skillnad från den vanliga Mirai skit,” Vess twittrade. “Författaren är inte din genomsnittliga script kiddie Mirai modder.”
Avast ‘ s undersökning av botnät visade att Torii har sannolikt utvecklats genom någon med en grundlig förståelse av hur botnät fungerar, snarare än att ta bolt-on tillvägagångssätt som vi har sett de senaste Mirai varianter, ske efter offentliggörande av sakernas internet botnet källkod 2016.
Den säkerhet som företaget säger att Torii skiljer sig inte bara i termer av förfining, men också de olika “avancerad teknik” som man använder.
“[Torii] kommer med en ganska rik uppsättning funktioner för exfiltration av (känsliga) information, modulär arkitektur kan hämta och köra andra kommandon och körbara filer och allt detta via flera lager av krypterad kommunikation,” Avast säger.
Se även: IoT hacker bygger Huawei-baserade botnet, förslavar 18,000 enheter i en dag
Botnät, som tros ha varit i drift sedan 2017, har också inriktning möjligheter som man inte ofta ser i botnät varianter. Systemet kan infektera arkitekturer, inklusive MIPS, ARM, x86, x64, PowerPC, och SuperH, bland andra.
CNET: Vi kan inte sluta botnet-attacker ensam, säger AMERIKANSKA regeringen
Upptäckten av botnät var baserad på Telnet nya attacker från Tor-exit-noder. Botnät kan dra nytta av användningen av svaga referenser i sakernas internet enheter att kompromissa system innan du utför ett shell-skript som försöker att upptäcka arkitekturen av en mål-enheten innan du laddar ned en lämplig malware nyttolast.
Torii kommer att använda en mängd olika kommandon, “wget”, “ftpget”, “ftp”, “busybox wget,” eller “busybox ftpget,” för att säkerställa nyttolast leverans.
Om binärfiler kan laddas ner via HTTP, botnät kommer att använda FTP-protokollet. I det senare fallet, botnät använda autentiseringsuppgifter som är inbäddade i shell-skript för att ansluta till en FTP-server går via en IP som fortfarande är aktiv vid tidpunkten för skrivandet.
Binärfilerna droppers för andra nyttolasten, som båda är ihållande.
Torii använder minst sex metoder för att upprätthålla uthållighet på en komprometterad enheten och kör dem alla på samma gång:
Automatisk exekvering via injiceras kod i ~.bashrcAutomatic exekvering via “@omstart” – klausul i crontabAutomatic utförande som en “Daemon” service via systemdAutomatic exekvering via /etc/init och VÄG. Än en gång, det kallar sig “Daemon”Automatisk exekvering via ändring av SELinux Policy ManagementAutomatic exekvering via /etc/inittab
Den andra etappen av nyttolast därefter utför. Detta är den största botnät som kan ansluta till förarens kommando-och-kontroll (C2) server — av vilka minst tre adresser är i drift — exfiltrate data, kryptera kommunikationen, och använda sig av anti-felsökning tekniker.
TechRepublic: 6 anledningar varför vi har misslyckats med att stoppa botnät
Torii kommunicerar med sina C2 via TCP-port 443, men Avast anser att detta är “som ett bedrägeri” som TLS-protokollet är inte i bruk. Snarare botnet “tar fördel av [av] vanlig användning av den här porten för HTTPS-trafik.”
Botnät är sofistikerad, men trots potentiellt aktiv sedan förra året, inte beter sig som en vanlig botnät som deltar i Distribuerade Denial-of-Service (DDoS) attacker eller cryptojacking, och dess övergripande syfte är fortfarande ett mysterium.
Vid tiden för upptäckt, VirusTotal inte flagga upp två av botnät är körbara filer som skadliga. Men, i skrivande stund, 19 antivirus upptäcker nu en av filerna, medan en annan är bara upptäcks av fem motorer.
Tidigare och relaterade täckning
Denna ryska botnet härmar du klicka för att förhindra Android-enhet fabrik återställs Bisarra botnet infekterar din DATOR för att skrubba bort cryptocurrency gruv-malware Datorer fortfarande infekterad med Andromeda botnet malware, trots takedown
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0