La botnet Torii ha sido descubierto en una campaña en curso objetivo descubrir algunas de sus características distintivas. El análisis se ha realizado revela que se comporta de una manera muy diferente a otras redes de bots populares.
Torii Botnet Se basa en el comportamiento distintivo de infectar a los hosts de destino
La botnet Torii es una nueva amenaza de malware que se ha identificado en un ataque en curso. Los patrones de comportamiento asociados a ella parecen ser muy diferentes que Mirai o Qbot que se encuentran entre las armas más populares utilizados por los piratas informáticos. Esto llevó a los investigadores de seguridad que buscar más en ella.
Una de las principales diferencias se encuentran dentro de la forma en que infecta. El equipo de seguridad señala que una de sus características es la stealth y la intrusión persistente. Los intentos de intrusión se realizan a través de sesiones de Telnet sonda, haciendo uso de credenciales débiles - los piratas informáticos pueden o bien por fuerza bruta o utilizar listas de nombre de usuario por defecto por defecto y combinaciones de contraseñas. Cuando se ha hecho la entrada a los sistemas de un script será llamado para iniciar la siguiente operación.
En comparación con otras redes de bots una de las primeras acciones es la detección de la arquitectura - este es sometido a fin de categorizar el huésped infectado en una de las categorías de los conjuntos. El hecho interesante es que la botnet parece apoyar una amplia variedad de plataformas populares: x86_64, x86, BRAZO, MIPS, Motorola 68k, SuperH y PPC.
Es muy posible que las versiones separadas se han hecho para ellos. Cuando se ha hecho la selección comandos comunes se activarán para descargar la primera carga útil gotero etapa. Este componente de primera etapa cuenta con la ofuscación sencilla que está diseñado descubrimiento por parte de algún tipo de software de seguridad. Su principal objetivo es instalar otro archivo ejecutable que será desplegado en una ubicación pseudo-aleatorio - se calcula la dirección de destino de acuerdo con una lista integrada.
La segunda etapa de desplegado se instalará como una amenaza persistente. En esta sección del código de los analistas han descubierto al menos seis métodos para la instalación persistente, se ha encontrado que todos ellos están a cargo:
- ejecución automática a través de código inyectado en ~ Bashrc
- ejecución automática a través de la cláusula “@reboot” en el crontab
- ejecución automática como un servicio “Sistema Daemon” a través de systemd
- ejecución automática a través de / etc / init y PATH. Una vez más, se llama a sí misma “sistema Daemon”
- ejecución automática a través de la modificación de la Política de Gestión de SELinux
- ejecución automática a través de / etc / inittab
Capacidades Torii Botnet y Posibles daños
Después de la intrusión inicial del motor principal botnet Torii será desplegado para los huéspedes infectados. Al igual que algunos otros tipos de malware que inicialmente retrasar sus operaciones con el fin de engañar a las firmas de virus comunes. entornos de recinto de seguridad simples pueden ser anuladas por un conjunto de códigos de anulación incorporadas. Para evitar los nombres de proceso de la lista negra el motor utilizará un nombre aleatorio. Los símbolos serán despojadas de hacer el análisis más difícil.
Cuando todas estas comprobaciones se realizan el motor va a establecer una conexión segura a un servidor pirata informático controlado. Las direcciones mismos son encriptados y cada instancia de malware parece contener 3 los no modificables.
En este punto, el motor también recogerá los siguientes datos de los dispositivos e informar de ello a los piratas informáticos a través de esta conexión:
- nombre de host
- Identificacion de proceso
- Camino a la segunda etapa ejecutable
- Detalles encontrado por uname() llamada
- Todas las direcciones MAC que se encuentran en / sys / class / net /% interface_name% / dirección + su hash MD5
- Salida de los comandos de información de varios sistemas
Las comunicaciones del servidor reales se organizan en un bucle sin fin - el cliente siempre los servidores de manera automática si no hay ningún comando que van a ser ejecutados. Si por ejemplo se envían al cliente devolverá la salida y esperar los resultados de las siguientes instrucciones. Algunos de los comandos de ejemplo incluyen los siguientes:
Subir archivo, servidor de cambio de tiempo de espera, ejecución remota de comandos, descarga de archivos, cambio permisos, ejecución de archivos, Ubicación del archivo de registro, extracción de contenido de los archivos, eliminación de archivos, descarga de archivos frm URL remotos, nuevo C&la instalación de direcciones del servidor C y etc..
El análisis de la amenaza también muestra que contiene una módulo de utilidad llamada sm_packed_agent.Parece que se puede utilizar para ayudar a la ejecución remota de código su análisis cadenas revela que también podría contener capacidades de servidor similar. casos hasta el momento no se confirman ninguna de este módulo se utilizan en ataques en vivo.
En conclusión, los atacantes en cuenta que la botnet Torii es un arma muy sofisticado que puede ser desplegado en contra de todo tipo de objetivos, especialmente los de alto perfil. Sus capacidades le permiten infectar a redes enteras a la vez, así como se propaga a través del medio ambiente interno de la empresa.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: