De Torii botnet is ontdekt in een lopend doelwit campagne het blootleggen van een aantal van haar onderscheidende kenmerken. Er is een analyse gemaakt waaruit blijkt dat het zich gedraagt in een heel andere manier naar andere populaire botnets.
Torii Botnet vertrouwt op Onderscheidend Gedrag Target Hosts Infect
De Torii botnet is een nieuwe malware dreiging die is geïdentificeerd in een voortdurende aanval. De gedragspatronen die ermee verbonden lijken enorm verschillend dat Mirai of qbot die behoren tot de meest populaire wapens die door de hackers te zijn. Dit leidde tot de beveiliging onderzoekers om verder te kijken erin.
Een van de belangrijkste verschillen zijn te vinden in de manier waarop het infecteert. Het security team merkt op dat een van de kenmerken ervan is de stealth en aanhoudende inbraak. De inbraakpogingen worden via sonde Telnet-sessies gedaan door gebruik te maken van zwakke referenties - de hackers kan ofwel brute kracht hen of het gebruik van lijsten van standaard standaard gebruikersnaam en wachtwoord combinaties. Wanneer toegang tot de systemen is gemaakt van een script zal worden opgeroepen om de volgende activiteiten te starten.
In vergelijking met andere botnets een van de eerste acties is de detectie van de architectuur - deze wordt ondergaan om de geïnfecteerde gastheer categoriseren in een van de vaste categorieën. Het interessante feit is dat de botnet lijkt een breed scala aan populaire platforms te ondersteunen: x86_64, x86, ARM, MIPS, Motorola 68k, SuperH en PPC.
Het is heel goed mogelijk dat afzonderlijke versies zijn gemaakt voor hen. Wanneer de selectie is gemaakt gemeenschappelijk commando's worden geactiveerd om de eerste fase payload dropper downloaden. Deze eerste fase component beschikt over eenvoudige verduistering die is ontworpen ontdekking door enkele beveiligingssoftware. Zijn belangrijkste doel is om een ander uitvoerbaar bestand dat zal worden ingezet in een pseudo-willekeurige locatie te installeren - het bestemmingsadres zal worden berekend op basis van een ingebouwde lijst.
De ingezette tweede fase zal worden geïnstalleerd als een aanhoudende bedreiging. In dit deel van de code de analisten hebben ontdekt ten minste zes methoden voor het aanhoudende installatie, het is gebleken dat ze allemaal worden uitgevoerd:
- Automatisch uitvoeren via geïnjecteerd code in ~ Bashrc
- Automatisch uitvoeren via “@reboot” clausule in crontab
- Automatisch uitvoeren als een “System Daemon” dienst via systemd
- Automatisch uitvoeren via / etc / init en PATH. Opnieuw, hij noemt zichzelf “System Daemon”
- Automatisch uitvoeren via wijziging van de SELinux Policy Management
- Automatisch uitvoeren via / etc / inittab
Torii Botnet mogelijkheden en potentiële schade
Na de eerste inbraak de Torii botnet hoofdmotor zal worden ingezet om de geïnfecteerde hosts. Net als sommige andere malware zal het in eerste instantie haar activiteiten uit te stellen om tot een gemeenschappelijke virushandtekeningen gek. Eenvoudige sandbox omgevingen kunnen worden omzeild door een set van ingebouwde override codes. Om de zwarte lijst proces namen te voorkomen dat de motor zal een gerandomiseerde naam te gebruiken. Symbolen worden ontbloot analyse moeilijker.
Wanneer al deze controles worden uitgevoerd zal de motor een beveiligde verbinding naar een hacker gecontroleerde server vast te stellen. De adressen zelf zijn gecodeerd en elke malware instantie lijkt te bevatten 3 hard-coded degenen.
Op dit punt zal de motor ook het verzamelen van de volgende gegevens van de apparaten en dit melden aan de hackers via deze verbinding:
- hostname
- werkwijze ID
- Pad naar tweede fase uitvoerbare
- Details gevonden door uname() telefoontje
- Alle MAC-adressen te vinden in / sys / class / net /% interface_name% / adres + de MD5 hash
- Output van diverse informatie over commando's
De eigenlijke server communicatie wordt georganiseerd in een eindeloze lus - de klant altijd de servers op een geautomatiseerde manier als die er zijn opdrachten die moeten worden uitgevoerd. Indien dergelijke worden verzonden zal de klant de resultaten uitgang terug te keren en te wachten voor de volgende instructies. Een deel van de voorbeeld commando's omvatten de volgende:
bestand upload, server time-outperiode wijzigen, afstand commando's uitvoeren, bestand download, permissies verandering, uitvoering van bestanden, file locatie check, bestandinhoud extractie, bestandsverwijdering, downloaden van bestanden van Luxury-remote URL's, nieuwe C&C server adres installatie en etc.
De analyse van de dreiging toont ook aan dat het een tool module genoemd sm_packed_agent.Het lijkt erop dat het kan worden gebruikt om de uitvoering van externe code zijn koorden analyse blijkt dat het ook server-achtige mogelijkheden zouden kunnen bevatten helpen. Tot nu toe zijn er geen bevestigde gevallen van deze module wordt gebruikt in levende aanvallen.
In de conclusie van de aanvallers er rekening mee dat de Torii botnet is een zeer geavanceerd wapen dat ingezet kan worden tegen allerlei soorten doelen, vooral high-profile degenen. De mogelijkheden laat het hele netwerken te infecteren in een keer, evenals verspreiden over de interne omgeving bedrijf.