Die Torii Botnetz in einer laufenden Ziel Kampagne wurde einige seiner Besonderheiten Aufdeckung entdeckt. Es wurde eine Analyse enthüllt, daß es auf eine ganz andere Art und Weise zu anderen beliebten Botnets verhält.
Torii Botnet setzt auf Distinctive Verhalten Ziel-Hosts Infect
Die Torii Botnetz ist eine neue Malware-Bedrohung, die in einem laufenden Angriff identifiziert wurde. Die Verhaltensmuster mit ihm verbunden scheinen sehr unterschiedlich zu sein, dass Mirai oder QBOT, die zu den beliebtesten Waffen von den Hackern verwendet werden,. Dies veranlasste Sicherheitsforscher sich in sie weiter.
Einer der wichtigsten Unterschiede sind in der Art und Weise fand es infiziert. Das Sicherheitsteam stellt fest, dass eines seiner Merkmale ist die Stealth und persistent Intrusions. Die Einbruchsversuche werden über Sonde Telnet-Sitzungen erfolgt durch die Verwendung von schwachen Zugangsdaten zu machen - der Hacker kann entweder Brute-Force sich oder Verwendung Listen Standard Standard-Benutzername und Passwort-Kombinationen. Bei Eintritt in den Systemen hat ein Skript vorgenommen werden, die nächsten Operationen zu starten aufgerufen werden.
Im Vergleich zu anderen Botnets eine der ersten Aktionen ist die Detektion der Architektur - das ist in Ordnung durchlaufen die infizierten Wirt in einen der Satz Kategorien zu kategorisieren. Die interessante Tatsache ist, dass das Botnet eine Vielzahl von gängigen Plattformen zu unterstützen scheint: x86_64, x86, ARM, MIPS, Motorola 68k, SuperH und PPC.
Es ist durchaus möglich, dass separate Versionen haben für sie gemacht worden. Wenn die Auswahl häufig verwendete Befehle ausgelöst wird zum Download der ersten Stufe Nutzlast Tropfer gemacht worden. Diese erste Stufe Komponente verfügt über eine einfache Verschleierung, die Entdeckung von einigen Sicherheits-Software ausgelegt ist. Sein Hauptziel ist, ein andere ausführbare Datei zu installieren, die in einen pseudo-zufälligen Ort bereitgestellt werden - die Zieladresse nach einer integrierten Liste berechnet wird.
Die eingesetzte zweite Stufe wird als eine anhaltende Bedrohung installiert werden. In diesem Abschnitt des Codes haben die Analysten entdeckt mindestens sechs Methoden zur Installation persistent, es wurde gefunden, dass alle von ihnen laufen:
- Automatische Ausführung über injiziert Code in ~ Bashrc
- Automatische Ausführung über „@reboot“ -Klausel in crontab
- Automatische Ausführung als „System Daemon“ Dienst über systemd
- Automatische Ausführung über / etc / init und PATH. Noch einmal, es nennt sich “System Daemon”
- Automatische Ausführung über Modifikation der SELinux Policy Management
- Automatische Ausführung über / etc / inittab
Torii Botnet Fähigkeiten und Schadenspotenzial
Nach dem ersten Eindringen wird der Torii Botnet Hauptmotor auf die infizierten Rechner eingesetzt werden. Wie einige andere Malware verzögern wird es zunächst seine Operationen, um gemeinsame Virensignaturen zu täuschen. Einfache Sandbox-Umgebungen können durch eine Reihe von integrierten in Überschreibung Codes umgangen werden. Um zu vermeiden, die schwarzen Liste Prozessnamen wird der Motor einen randomisierten Namen verwenden. Symbole werden entfernt die Analyse schwieriger zu machen.
Wenn alle diese Prüfungen durchgeführt werden, der Motor wird eine sichere Verbindung zu einem Hacker-kontrollierten Server herstellen. Die Adressen selbst sind verschlüsselt und jede Malware-Instanz scheint zu enthalten 3 hartcodierte diejenigen.
An diesem Punkt wird der Motor auch folgende Daten von den Geräten sammeln und melden Sie es den Hackern über diese Verbindung:
- Hostname
- Prozess-ID
- Weg zum zweiten Stufe ausführbaren
- Details von uname gefunden() Anruf
- Alle MAC-Adressen in / sys / class / net /% interface_name% / Adresse + der MD5-Hash
- Ausgabe von mehreren Systeminformationsbefehlen
Die tatsächliche Server-Kommunikation wird in einer Endlosschleife organisiert - der Client die Server in automatisierter Weise immer, wenn es irgendwelche Befehle, die ausgeführt werden soll,. Wenn solche sind der Client kehrt die Ergebnisse ausgegeben und erwarten für die nächsten Anweisungen gesendet. Einige der Beispielbefehle umfassen die folgenden:
Datei-Upload, Server-Timeout-Periode ändern, Fernbefehlsausführung, Datei download, Berechtigungen ändern, Ausführen von Dateien, Speicherort der Datei Check, Dateiinhalte Extraktion, Löschen von Dateien, Download von Dateien frm Remote-URLs, neuer C&C-Server-Adresse und die Installation usw..
Die Analyse der Bedrohung zeigt auch, dass es ein enthält Dienstprogramm-Modul namens sm_packed_agent.Es scheint, dass es die Remotecodeausführung verwendet werden kann, die Saiten Analyse zeigt, zu helfen, dass es auch Server-ähnliche Funktionen enthalten könnten. Bisher gibt es keine bestätigten Fälle dieses Moduls in Live-Angriffe verwendet werden.
Abschließend beachten Sie die Angreifer, dass der Torii Botnet eine sehr hoch entwickelte Waffe ist, die gegen alle Arten von Zielen eingesetzt werden kann, besonders hochkarätig diejenigen. Seine Funktionen ermöglichen es ganze Netzwerke auf einmal sowie propagieren über die interne Unternehmensumgebung zu infizieren.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: