應用

技術

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標

2018-09-29 10:15 黑客視界

導讀:捷克安全公司Avast(愛維士)的安全研究人員發(fā)現(xiàn)了一種新的物聯(lián)網(wǎng)僵尸病毒,并表示它比時而出現(xiàn)時而消失的Mirai及其變種更具破壞性。該僵尸病毒的開發(fā)人員試圖盡可能廣地擴大攻擊覆蓋面,為此他們?yōu)槎鄠€CPU架構(gòu)創(chuàng)建了相應的二進制文件,將僵尸病毒設計為具備能夠隱身和建立持久性的能力。例如,與命令和控制(C2)服務器的通信是加密的,功能包括過濾和命令執(zhí)行。

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標

捷克安全公司Avast(愛維士)的安全研究人員發(fā)現(xiàn)了一種新的物聯(lián)網(wǎng)僵尸病毒,并表示它比時而出現(xiàn)時而消失的Mirai及其變種更具破壞性。

該僵尸病毒的開發(fā)人員試圖盡可能廣地擴大攻擊覆蓋面,為此他們?yōu)槎鄠€CPU架構(gòu)創(chuàng)建了相應的二進制文件,將僵尸病毒設計為具備能夠隱身和建立持久性的能力。例如,與命令和控制(C2)服務器的通信是加密的,功能包括過濾和命令執(zhí)行。

根據(jù)研究人員的說法,Torii僵尸病毒至少從2017年12月份起就已經(jīng)開始活躍了,并且所針對的設備涉及多種CPU架構(gòu),如MIPS、ARM、x86、x64、PowerPC和SuperH。

雖然同時支持對多平臺的攻擊對于Mirai及其變種來說很常見,但研究人員表示,Torii所支持的體系結(jié)構(gòu)是他們迄今為止觀察到的各種僵尸病毒所支持體系結(jié)構(gòu)中最大的一個。

Torii僵尸病毒通過Tor網(wǎng)絡實施攻擊

據(jù)稱,Torii僵尸病毒的樣本最初是由知名安全研究員Vesselin Bontchev在他的Telnet蜜罐中捕獲到的。他注意到攻擊發(fā)生在Telnet通信專用的端口23上,但通信是通過Tor網(wǎng)絡進行的,這也就是為什么該僵尸病毒被命名為“Torii”的原因。

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標

Vesselin Bontchev發(fā)現(xiàn),Torii感染了那些Telnet端口暴露并使用弱密碼的系統(tǒng)。它執(zhí)行了一個相當復雜的腳本來確定設備的體系結(jié)構(gòu),并使用了多個命令(“wget”、“ftpget”、“ftp”、“busybox wget”或“busybox ftpget”)來確保二進制有效載荷的傳遞成功。

感染物聯(lián)網(wǎng)設備,使用六種方法建立持久性

在接下來,這個腳本會下載針對相應設備架構(gòu)的第一階段有效載荷,它是第二階段有效載荷的一個dropper,并且會一直持續(xù)存在。

據(jù)報道,Torii是繼VPNFilter和Hide and Seek之后第三個會在受感染設備上建立持久性的物聯(lián)網(wǎng)僵尸病毒。這也意味著,Torii能夠在系統(tǒng)重新啟動之后繼續(xù)運行,并且只有通過將固件重置為默認配置才能夠清除它。

研究人員發(fā)現(xiàn),Torii使用了六種方法來確保其文件保留在受感染設備上并持續(xù)運行:

通過注入代碼“~.bashrc”實現(xiàn)自動執(zhí)行;

通過crontab中的“@reboot”子句實現(xiàn)自動執(zhí)行;

通過systemd作為一個“系統(tǒng)守護進程”服務實現(xiàn)自動執(zhí)行;

通過/etc/init和 Once again,作為“系統(tǒng)守護進程”來實現(xiàn)自動執(zhí)行;

通過修改SELinux策略管理來實現(xiàn)自動執(zhí)行;

通過/etc/inittab實現(xiàn)自動執(zhí)行。

Torii的功能很強,但尚沒有明確目標

雖然對C2服務器的通信進行了加密,并通過TLS特定的端口443進行傳輸,但Torii僵尸病毒本身并不使用TLS協(xié)議。

通過這種方式交換的信息有助于對目標設備進行指紋識別,因為Torii僵尸病毒竊取了主機名、進程ID、MAC地址和與系統(tǒng)相關的其他詳細信息。

作為物聯(lián)網(wǎng)僵尸病毒而言,它們的預期目的通常都是分布式拒絕服務或加密貨幣挖掘,但Torii并沒有表露出這樣的意圖,至少目前是這樣的。

它的具體目標目前仍然是一個謎,但可能性很多,因為它能夠在受感染設備上運行任何命令。更重要的是,它是采用GOP語言編寫的,這使得它可以重新被編譯,以適應各種設備。

值得注意的是,盡管Torii與比特梵德(Bitdefender)在公司今年1月發(fā)現(xiàn)的Hide and Seek僵尸病毒有一些相似之處,但它們完全是兩碼事。

目前,網(wǎng)絡安全公司Yoroi的研究員Marco Ramilli也對該僵尸病毒樣本進行了分析,并注意到它與Persirai僵尸病毒存在一些相似之處。在去年5月份,該僵尸病毒利用了UPnP協(xié)議的漏洞感染了1000多種型號的IP攝像頭。