La botnet Torii è stato scoperto in una campagna bersaglio continuo scoprire alcune delle sue caratteristiche distintive. L'analisi è stata effettuata rivelando che si comporta in modo molto diverso da altri botnet popolari.
Torii botnet si affida a Comportamento Distinctive ad infettare gli host di destinazione
La botnet Torii è una nuova minaccia di malware che è stato identificato in un attacco in corso. I modelli di comportamento ad esso associati sembrano essere molto diversi che Mirai o QBot che sono tra le armi più popolari utilizzati dagli hacker. Ciò ha spinto i ricercatori di sicurezza di guardare più al suo interno.
Una delle maggiori differenze si trovano all'interno del modo in cui infetta. Il team di sicurezza osserva che una delle sue caratteristiche è la stealth e intrusione persistente. I tentativi di intrusione sono fatte tramite sessioni Telnet sonda facendo uso delle credenziali deboli - gli hacker possono o bruta loro forza o utilizzare gli elenchi di nome utente predefinito di default e le combinazioni di password. Quando è stato fatto l'ingresso ai sistemi di uno script sarà chiamato ad avviare le successive operazioni.
In confronto ad altri botnet una delle prime azioni è la rilevamento di architettura - questo è sottoposto al fine di catalogare l'host infetto in una delle categorie di. Il fatto interessante è che la botnet sembra supportare una vasta gamma di piattaforme popolari: x86_64, x86, BRACCIO, MIPS, Motorola 68k, SuperH e PPC.
E 'molto probabile che le versioni distinte sono state fatte per loro. Quando è stata fatta la selezione comandi comuni verrà attivato per scaricare il primo carico utile contagocce fase. Questo componente del primo stadio presenta semplice offuscamento che è stato progettato scoperta da parte di alcuni software di sicurezza. Il suo obiettivo principale è quello di installare un altro file eseguibile che verrà distribuito in una posizione pseudo-casuale - sarà calcolato l'indirizzo di destinazione in base a un elenco incorporato.
La seconda fase schierato sarà installato come una minaccia persistente. In questa sezione del codice analisti hanno scoperto almeno sei metodi per l'installazione permanente, è stato trovato che tutti loro è gestita:
- Esecuzione automatica tramite codice iniettato in ~ .bashrc
- Esecuzione automatica tramite la clausola “@reboot” in crontab
- Esecuzione automatica come servizio “Sistema Daemon” tramite systemd
- Esecuzione automatica tramite / etc / init e PATH. Di nuovo, esso si chiama “sistema Daemon”
- Esecuzione automatica tramite modifica della gestione politica di SELinux
- Esecuzione automatica tramite / etc / inittab
Funzionalità Torii botnet e Potenziale di danni
Dopo l'intrusione iniziale il motore principale botnet Torii verrà distribuito agli host infetti. Come alcuni altri malware sarà inizialmente ritardare le sue operazioni, al fine di ingannare firme dei virus comuni. ambienti sandbox semplici possono essere bypassati da una serie di codici di override incorporati. Per evitare nomi di processo nella lista nera il motore utilizzerà un nome randomizzato. I simboli verranno rimossi per rendere l'analisi più difficile.
Quando tutti questi controlli sono fatti il motore sarà stabilire una connessione sicura a un server degli hacker controllato. Gli indirizzi stessi sono criptati e ogni istanza di malware sembra contenere 3 quelli hard-coded.
A questo punto il motore sarà anche raccogliere i seguenti dati provenienti dai dispositivi e segnalarlo ai hacker tramite questa connessione:
- hostname
- ID di processo
- Percorso alla seconda fase eseguibile
- Dettagli trovata da uname() chiamata
- Tutti gli indirizzi MAC si trovano in / sys / class / net /% interface_name% / indirizzo + il suo hash MD5
- Output dei comandi di informazione diversi di sistema
Le comunicazioni server reale sono organizzati in un ciclo infinito - il cliente avrà sempre i server in modo automatico se ci sono tutti i comandi che devono essere eseguiti. Se tale vengono inviati al cliente restituirà l'uscita dei risultati e attendere per i prossimi istruzioni. Alcuni dei comandi di esempio includono i seguenti:
upload di file, server di cambiamento periodo di timeout, esecuzione di comandi remoti, download file, Cambia autorizzazioni, esecuzione di file, controllo posizione del file, Estrazione contenuto dei file, cancellazione del file, download del file frm URL remoti, nuova C&installazione indirizzo del server C ed ecc.
L'analisi della minaccia mostra anche che contiene un Modulo utility chiamata sm_packed_agent.Sembra che esso può essere utilizzato per aiutare l'esecuzione di codice remoto sua analisi stringhe rivela che potrebbe anche contenere funzionalità server-like. Finora i casi non c'è sono confermate di questo modulo utilizzati in attacchi dal vivo.
In conclusione gli attaccanti di notare che la botnet Torii è un'arma molto sofisticata che può essere distribuito contro tutti i tipi di target, soprattutto quelli di alto profilo. Le sue capacità gli permettono di infettare intere reti in una sola volta, così come si propagano in tutto l'ambiente aziendale interna.