Den Torii botnet er blevet opdaget i en igangværende mål kampagne afdække nogle af sine særlige kendetegn. Der er gjort en analyse afslører, at den opfører sig på en meget anderledes måde at andre populære botnet.
Torii botnet Afhængig Distinctive Adfærd at inficere Target-værter
Den Torii botnet er et nyt malware trussel, der er blevet identificeret i et igangværende angreb. De adfærdsmønstre, der er forbundet med det synes at være meget anderledes, at Mirai eller QBot som er blandt de mest populære våben, der anvendes af hackere. Det fik sikkerhed forskere at se nærmere på det.
En af de store forskelle findes inden for den måde, det inficerer. Sikkerhedsteamet bemærker, at en af dens egenskaber er stealth og vedholdende indtrængen. Forsøgene indtrængen er færdig via sonde Telnet sessioner ved at gøre brug af svage legitimationsoplysninger - hackere kan enten brute force dem eller bruge lister over standard standard brugernavn og adgangskoder. Når adgang til systemerne er blevet gjort et script vil blive kaldet til at starte den næste operationer.
I sammenligning med andre botnet en af de første tiltag er påvisning af arkitektur - dette er gennemgået med henblik på at kategorisere den inficerede vært i et af de sæt kategorier. Det interessante faktum er, at botnettet synes at støtte en bred vifte af populære platforme: x86_64, x86, ARM, MIPS, Motorola 68k, SuperH og PPC.
Det er meget muligt, at separate versioner er blevet lavet til dem. Når der er truffet valget almindelige kommandoer vil blive udløst for at hente den første etape nyttelast dropper. Denne første-trins komponent har en enkel formørkelse, som er designet opdagelse af nogle sikkerhedssoftware. Dets vigtigste mål er at installere en anden eksekverbar fil, som vil blive anvendt i en pseudo-tilfældig placering - modtageradressen vil blive beregnet i henhold til en indbygget liste.
Den indsat anden fase vil blive installeret som en vedvarende trussel. I denne del af koden analytikerne har opdaget mindst seks metoder til vedvarende installation, det er blevet konstateret, at alle af dem er kørt:
- Automatisk udførelse via indsprøjtet kode i ~ .bashrc
- Automatisk udførelse via ”@reboot” klausul i crontab
- Automatisk udførelse som en ”System Daemon” tjeneste via systemd
- Automatisk udførelse via / etc / init og PATH. Igen, det kalder sig “System Daemon”
- Automatisk udførelse via ændring af SELinux Policy Management
- Automatisk udførelse via / etc / inittab
Torii Botnet Capabilities og Skader Potentiale
Efter den indledende indtrængen af Torii botnet hovedmotoren vil blive udsendt til de inficerede værter. Ligesom nogle andre malware vil det i første omgang forsinke sine operationer for at narre almindelige virus signaturer. Simple sandkasse miljøer kan omgås ved et sæt indbyggede overstyring koder. For at undgå sortlistede proces navne motoren vil bruge en randomiseret navn. Symboler vil blive strippet for at gøre analysen hårdere.
Når alle disse kontroller er lavet motoren vil etablere en sikker forbindelse til en hacker-kontrolleret server. Adresserne selv er krypteret og hver malware instans synes at indeholde 3 fastkodede dem.
På dette tidspunkt vil motoren også indsamle følgende data fra enhederne og indberetter det til hackere via denne forbindelse:
- Værtsnavn
- proces-id
- Sti til anden etape eksekverbar
- Detaljer fundet af uname() ringe
- Alle MAC-adresser findes i / sys / class / netto /% interfacenavn% / adresse + dens MD5 hash
- Output af flere systemer information kommandoer
De faktiske serverkommunikation er organiseret i en endeløs løkke - kunden vil altid serverne i en automatiseret måde, hvis der er nogen kommandoer, der skal udføres. Hvis en sådan sendes kunden vil returnere resultater output og afvente de næste instruktioner. Nogle af eksemplerne kommandoer omfatter følgende:
fil upload, servertimeout periode forandring, ekstern udførelse kommando, fil-download, tilladelser forandring, udførelse af filer, filplacering kontrol, filindhold udvinding, fil sletning, downloade filer frm fjerntliggende URL'er, ny C&adresse installation og etc C server.
Analysen af truslen viser også, at det indeholder en nytte modul kaldet sm_packed_agent.Det fremgår, at det kan bruges til at hjælpe den fjernkørsel af programkode dens strenge analyse afslører, at det også kan indeholde server-lignende egenskaber. Indtil videre er der ingen bekræftede tilfælde af dette modul bliver brugt i levende angreb.
Afslutningsvis angriberne bemærke, at Torii botnet er et meget sofistikeret våben, der kan sættes ind mod alle former for mål, især højt profilerede dem. Dens egenskaber gør det muligt at inficere hele netværk på en gang, samt udbrede i hele det indre selskab miljø.