>> サイバーニュース > Torii ボットネットは高度なハッキング兵器
サイバーニュース

鳥居ボットネットは洗練されたハッキング武器です

  |  Last Update:  |  0 コメントコメント  

鳥居ボットネットは、その特徴的な機能のいくつかを明らかにする進行中のターゲットキャンペーンで発見されました. 分析が行われ、他の人気のあるボットネットとは非常に異なる動作をすることが明らかになりました.




Torii Botnetは、ターゲットホストに感染するために特有の動作に依存しています

Toriiボットネットは、進行中の攻撃で特定された新しいマルウェアの脅威です。. これに関連する動作パターンは、ハッカーが使用する最も人気のある武器の1つであるMiraiまたはQBotとは大きく異なるようです。. これにより、セキュリティ研究者はさらに調査するようになりました.

主な違いの1つは、感染方法に見られます. セキュリティチームは、その特徴の1つが ステルスと持続的な侵入. 侵入の試みは、弱い資格情報を利用してプローブTelnetセッションを介して行われます。ハッカーは、それらをブルートフォースするか、デフォルトのデフォルトのユーザー名とパスワードの組み合わせのリストを使用する可能性があります。. システムへのエントリが作成されると、次の操作を開始するためにスクリプトが呼び出されます.

他のボットネットと比較して、最初のアクションの1つは アーキテクチャの検出 —これは、感染したホストを設定されたカテゴリの1つに分類するために行われます。. 興味深い事実は、ボットネットがさまざまな人気のあるプラットフォームをサポートしているように見えることです: x86_64, x86, 腕, MIPS, モトローラ68k, SuperHとPPC.

それらのために別々のバージョンが作成されている可能性が非常に高いです. 選択が行われると、一般的なコマンドがトリガーされて、第1段階のペイロードドロッパーがダウンロードされます。. この第1段階のコンポーネントは、セキュリティソフトウェアによって検出されるように設計された単純な難読化を特徴としています。. その主な目標は、疑似ランダムな場所に展開される別の実行可能ファイルをインストールすることです。宛先アドレスは、組み込みのリストに従って計算されます。.

展開された第2ステージは、永続的な脅威としてインストールされます. コードのこのセクションでは、アナリストが発見しました 永続的なインストールのための少なくとも6つの方法, それらのすべてが実行されていることが判明しています:

  • 〜.bashrcに挿入されたコードによる自動実行
  • crontabの「@reboot」句による自動実行
  • systemdを介した「システムデーモン」サービスとしての自動実行
  • / etc/initおよびPATHによる自動実行. もう一度, それは自分自身を呼びます “システムデーモン”
  • SELinuxポリシー管理の変更による自動実行
  • / etc/inittabによる自動実行
関連記事: Androidデバイスに対してIotボットネットを非表示にしてシークする

鳥居ボットネットの機能と被害の可能性

最初の侵入に続いて、Toriiボットネットのメインエンジンが感染したホストに展開されます. 他のマルウェアと同様に、一般的なウイルスのシグネチャをだますために、最初は操作を遅らせます. 単純なサンドボックス環境は、一連の組み込みオーバーライドコードによってバイパスできます. ブラックリストに登録されたプロセス名を回避するために、エンジンはランダム化された名前を使用します. 分析を困難にするために記号が削除されます.

これらのチェックがすべて行われると、エンジンはハッカーが制御するサーバーへの安全な接続を確立します. アドレス自体は暗号化されており、各マルウェアインスタンスには含まれているようです 3 ハードコードされたもの.

この時点で、エンジンはデバイスから次のデータも収集し、この接続を介してハッカーに報告します:

  • ホスト名
  • プロセスID
  • 第2段階の実行可能ファイルへのパス
  • unameが見つけた詳細() 電話
  • / sys / class / net /%interface_name%/addressにあるすべてのMACアドレス + そのMD5ハッシュ
  • いくつかのシステム情報コマンドの出力

実際のサーバー通信は無限ループで編成されます—実行されるコマンドがある場合、クライアントは常に自動化された方法でサーバーになります. そのようなものが送信された場合、クライアントは結果出力を返し、次の指示を待ちます. コマンドの例には、次のものが含まれます。:

ファイルのアップロード, サーバータイムアウト期間の変更, リモートコマンド実行, ファイルのダウンロード, 権限の変更, ファイルの実行, ファイルの場所の確認, ファイル内容の抽出, ファイルの削除, リモートURLからのファイルのダウンロード, 新しいC&Cサーバーアドレスのインストールなど.

脅威の分析は、脅威が含まれていることも示しています sm_packed_agentと呼ばれるユーティリティモジュール.リモートコード実行を支援するために使用できるようです。文字列分析により、サーバーのような機能も含まれている可能性があることがわかります。. これまでのところ、このモジュールがライブ攻撃で使用されていることは確認されていません。.

結論として、攻撃者は、鳥居ボットネットがあらゆる種類のターゲットに対して展開できる非常に洗練された武器であることに注意します。, 特に注目度の高いもの. その機能により、ネットワーク全体に一度に感染するだけでなく、社内環境全体に伝播することができます。.

マーティン・ベルトフ

マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. セキュリティ監査中に発見された洗練されたMylobotボットネット Mylobot ボットネットは、最近世界中で発見されました...
  2. 以前は検出されなかったRotaJakiroマルウェアがLinuxX64システムを標的 A sample of Linux malware has been circling the web...
  3. NjRATLimeEditionトロイの木馬の詳細な分析: 強力なハッキング武器 The security community has reported that the NjRat Lime Edition...
  4. DDGMoneroマイニングボットネットはRedisおよびOrientDBサーバーをターゲットにしています 大規模な攻撃を行う新たなボットネットが発見された...
  5. DoS武器として使用される新たに発見されたChaluboボットネット The Chalubo botnet is a recently discovered malware which has...
  6. SmominruボットネットがMoneroCryptocurrencyMinerでマシンに感染する サイバーセキュリティ アナリストは、危険を伴う大規模な世界的な攻撃を発見しました...
  7. JenXボットネットは、グランドセフトオートサーバーを介してデバイスを募集します コンピューター セキュリティの専門家が、新しいマルウェアの発見を報告しました...
  8. Hide'nSeekIoTボットネットはP2Pを使用してデバイスをターゲットにします セキュリティ アナリストは、新しい世界的なマルウェアの脅威を発見しました —...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します