Le botnet Torii a été découvert dans une campagne cible en cours en découvrant certaines de ses caractéristiques distinctives. Une analyse a été révélé qu'il se comporte d'une manière très différente à d'autres réseaux de zombies populaires.
Torii Botnet sur le comportement distinctif fait confiance à infecter les hôtes cibles
Le botnet Torii est une nouvelle menace malware qui a été identifié dans une attaque en cours. Les modèles de comportement qui y sont associés semblent être très différents que Mirai ou QBOT qui sont parmi les armes les plus populaires utilisés par les pirates. Cette sécurité a incité les chercheurs de Approfondir il.
L'une des principales différences se trouvent au sein de la façon dont il contamine. L'équipe de sécurité note que l'une de ses caractéristiques est la furtivité et intrusion persistante. Les tentatives d'intrusion se font par sessions Telnet sonde en utilisant les informations d'identification faibles - les pirates peuvent soit des listes de force brute ou les utiliser de nom d'utilisateur par défaut par défaut et des combinaisons de mots de passe. Lorsque l'entrée aux systèmes a été un script sera appelé pour démarrer les prochaines opérations.
En comparaison avec d'autres botnets une des premières actions est la la détection de l'architecture - cela est subi afin de classer l'hôte infecté dans l'une des catégories définies. Le fait intéressant est que le botnet semble soutenir une grande variété de plates-formes populaires: x86_64, x86, BRAS, MIPS, Motorola 68k, SuperH et PPC.
Il est très possible que des versions distinctes ont été faites pour eux. Lorsque la sélection a été faite des commandes communes seront déclenchées pour télécharger le premier compte-gouttes de la charge utile de la scène. Ce composant la première étape des étapes simples obscurcissement qui est conçu découverte par certains logiciels de sécurité. Son principal objectif est d'installer un autre fichier exécutable qui sera déployé dans un emplacement pseudo-aléatoire - l'adresse de destination sera calculée en fonction d'une liste intégrée.
La deuxième étape déployée sera installée comme une menace persistante. Dans cette section du code des analystes ont découvert au moins six procédés pour l'installation persistante, il a été constaté que tous sont exploités:
- Exécution automatique via le code injecté dans ~ .bashrc
- exécution automatique via la clause « @reboot » dans crontab
- Exécution automatique en tant que service « Daemon système » via systemd
- Exécution automatique via / etc / init et PATH. Encore une fois, il appelle lui-même “Daemon système”
- Exécution automatique par une modification de la gestion des politiques de SELinux
- Exécution automatique via / etc / inittab
Torii Botnet capacités et les dommages potentiels
À la suite de l'intrusion initiale, le moteur principal botnet Torii sera déployé aux hôtes infectés. Comme certains autres logiciels malveillants, il retardera d'abord ses opérations afin de tromper les signatures de virus communs. environnements de sandbox simples peuvent être contournées par un ensemble de codes de remplacement intégrés. Pour éviter les noms de processus sur la liste noire du moteur utilisera un nom aléatoire. Les symboles seront supprimés pour rendre l'analyse plus difficile.
Lorsque tous ces contrôles sont effectués le moteur établira une connexion sécurisée à un serveur contrôlé hacker. Les adresses sont elles-mêmes cryptées et chaque fois les logiciels malveillants semble contenir 3 celles codées en dur.
A ce stade, le moteur permettra également de recueillir les données suivantes des appareils et le signaler aux pirates via cette connexion:
- hostname
- ID de processus
- Chemin de seconde étape exécutable
- Détails trouvée par uname() appel
- Toutes les adresses MAC se trouvant dans / sys / class / net /% interface_name% / adresse + son hachage MD5
- La production de plusieurs commandes d'informations système
Les communications de serveur réel sont organisées dans une boucle sans fin - le client aura toujours les serveurs de manière automatisée, s'il y a des commandes qui doivent être exécutées. Si tel sont envoyés au client renverra la sortie des résultats et attendre les instructions suivantes. Certaines des commandes par exemple comprennent les éléments suivants:
téléchargement de fichiers, serveur changement de délai d'attente, exécution de la commande à distance, téléchargement de fichier, modification des autorisations, exécution des fichiers, l'emplacement du fichier chèque, extraction de contenu du fichier, suppression de fichiers, Télécharger des fichiers frm URL à distance, nouveau C&C l'adresse du serveur et l'installation, etc..
L'analyse de la menace montre aussi qu'il contient Module d'application appelé sm_packed_agent.Il semble qu'il peut être utilisé pour aider le code à distance son analyse des chaînes révèle qu'il peut contenir également des fonctionnalités comme serveur. Jusqu'à présent, il n'y a aucun cas confirmé de ce module étant utilisés dans des attaques en direct.
En conclusion, les attaquants noter que le botnet Torii est une arme très sophistiquée qui peut être déployée contre toutes sortes de cibles, en particulier ceux de grande envergure. Ses capacités lui permettent d'infecter des réseaux entiers à la fois, ainsi que dans l'environnement propagent interne de l'entreprise.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: