O botnet Torii foi descoberto em uma campanha alvo em curso descobrir algumas das suas características distintivas. Uma análise foi feita revelando que ele se comporta de uma maneira muito diferente de outros botnets populares.
O botnet Torii depende de um comportamento distinto para infectar os hosts alvo
O botnet Torii é uma nova ameaça de malware que foi identificada em um ataque em andamento. Os padrões de comportamento associados a ele parecem ser muito diferentes do Mirai ou QBot, que estão entre as armas mais populares usadas pelos hackers. Isso levou os pesquisadores de segurança a examinar mais a fundo.
Uma das principais diferenças encontra-se na forma como infecta. A equipe de segurança observa que uma de suas características é a furtividade e intrusão persistente. As tentativas de invasão são feitas por meio de sessões Telnet de sondagem, usando credenciais fracas - os hackers podem usar força bruta ou usar listas de combinações de nome de usuário e senha padrão. Quando a entrada nos sistemas for feita, um script será chamado para iniciar as próximas operações.
Em comparação com outros botnets, uma das primeiras ações é o detecção de arquitetura - isso é feito para categorizar o hospedeiro infectado em uma das categorias definidas. O fato interessante é que o botnet parece suportar uma grande variedade de plataformas populares: x86_64, x86, BRAÇO, MIPS, Motorola 68k, SuperH e PPC.
É muito possível que versões separadas tenham sido feitas para eles. Quando a seleção for feita, comandos comuns serão acionados para baixar o dropper de carga útil do primeiro estágio. Este componente de primeiro estágio apresenta ofuscação simples que é descoberta por algum software de segurança. Seu principal objetivo é instalar outro arquivo executável que será implantado em um local pseudo-aleatório - o endereço de destino será calculado de acordo com uma lista embutida.
O segundo estágio implantado será instalado como uma ameaça persistente. Nesta seção do código, os analistas descobriram pelo menos seis métodos para instalação persistente, verificou-se que todos eles são executados:
- Execução automática por meio de código injetado em ~ .bashrc
- Execução automática via cláusula “@reboot” no crontab
- Execução automática como um serviço “System Daemon” via systemd
- Execução automática via / etc / init e PATH. De novo, chama a si mesmo “Daemon do sistema”
- Execução automática por meio de modificação do SELinux Policy Management
- Execução automática via / etc / inittab
Capacidades e potencial de danos do botnet Torii
Após a intrusão inicial, o motor principal do botnet Torii será implantado nos hosts infectados. Como outros malwares, ele inicialmente atrasa suas operações para enganar assinaturas de vírus comuns. Ambientes de sandbox simples podem ser contornados por um conjunto de códigos de substituição integrados. Para evitar nomes de processos na lista negra, o mecanismo usará um nome aleatório. Os símbolos serão removidos para tornar a análise mais difícil.
Quando todas essas verificações forem feitas, o mecanismo estabelecerá uma conexão segura com um servidor controlado por hacker. Os próprios endereços são criptografados e cada instância de malware parece conter 3 os codificados.
Neste ponto, o mecanismo também coletará os seguintes dados dos dispositivos e os relatará aos hackers por meio desta conexão:
- nome de anfitrião
- ID do processo
- Caminho para o executável de segundo estágio
- Detalhes encontrados por uname() ligar
- Todos os endereços MAC encontrados em / sys / class / net /% interface_name% / address + seu hash MD5
- Saída de vários comandos de informação do sistema
As comunicações reais do servidor são organizadas em um loop infinito - o cliente sempre irá acessar os servidores de forma automatizada se houver algum comando a ser executado. Se forem enviados, o cliente retornará a saída de resultados e aguardará as próximas instruções. Alguns dos comandos de exemplo incluem o seguinte:
upload de arquivo, alteração do período de tempo limite do servidor, execução de comando remoto, Download do arquivo, mudança de permissões, execução de arquivos, verificação de localização de arquivo, extração de conteúdo de arquivo, exclusão de arquivo, download de arquivos de URLs remotos, novo C&Instalação do endereço do servidor C e etc.
A análise da ameaça também mostra que ela contém um módulo utilitário chamado sm_packed_agent.Parece que ele pode ser usado para auxiliar a execução remota de código, sua análise de strings revela que ele também pode conter recursos de servidor. Até o momento, não há casos confirmados deste módulo sendo usado em ataques ao vivo.
Em conclusão, os atacantes observam que o botnet Torii é uma arma muito sofisticada que pode ser implantada contra todos os tipos de alvos, especialmente aqueles de alto perfil. Seus recursos permitem que ele infecte redes inteiras de uma vez, bem como se propague em todo o ambiente interno da empresa.