應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊個人注冊登錄

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標(biāo)

2018-09-29 10:15 黑客視界

導(dǎo)讀:捷克安全公司Avast(愛維士)的安全研究人員發(fā)現(xiàn)了一種新的物聯(lián)網(wǎng)僵尸病毒,并表示它比時而出現(xiàn)時而消失的Mirai及其變種更具破壞性。該僵尸病毒的開發(fā)人員試圖盡可能廣地擴(kuò)大攻擊覆蓋面,為此他們?yōu)槎鄠€CPU架構(gòu)創(chuàng)建了相應(yīng)的二進(jìn)制文件,將僵尸病毒設(shè)計(jì)為具備能夠隱身和建立持久性的能力。例如,與命令和控制(C2)服務(wù)器的通信是加密的,功能包括過濾和命令執(zhí)行。

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標(biāo)

捷克安全公司Avast(愛維士)的安全研究人員發(fā)現(xiàn)了一種新的物聯(lián)網(wǎng)僵尸病毒,并表示它比時而出現(xiàn)時而消失的Mirai及其變種更具破壞性。

該僵尸病毒的開發(fā)人員試圖盡可能廣地擴(kuò)大攻擊覆蓋面,為此他們?yōu)槎鄠€CPU架構(gòu)創(chuàng)建了相應(yīng)的二進(jìn)制文件,將僵尸病毒設(shè)計(jì)為具備能夠隱身和建立持久性的能力。例如,與命令和控制(C2)服務(wù)器的通信是加密的,功能包括過濾和命令執(zhí)行。

根據(jù)研究人員的說法,Torii僵尸病毒至少從2017年12月份起就已經(jīng)開始活躍了,并且所針對的設(shè)備涉及多種CPU架構(gòu),如MIPS、ARM、x86、x64、PowerPC和SuperH。

雖然同時支持對多平臺的攻擊對于Mirai及其變種來說很常見,但研究人員表示,Torii所支持的體系結(jié)構(gòu)是他們迄今為止觀察到的各種僵尸病毒所支持體系結(jié)構(gòu)中最大的一個。

Torii僵尸病毒通過Tor網(wǎng)絡(luò)實(shí)施攻擊

據(jù)稱,Torii僵尸病毒的樣本最初是由知名安全研究員Vesselin Bontchev在他的Telnet蜜罐中捕獲到的。他注意到攻擊發(fā)生在Telnet通信專用的端口23上,但通信是通過Tor網(wǎng)絡(luò)進(jìn)行的,這也就是為什么該僵尸病毒被命名為“Torii”的原因。

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標(biāo)

Vesselin Bontchev發(fā)現(xiàn),Torii感染了那些Telnet端口暴露并使用弱密碼的系統(tǒng)。它執(zhí)行了一個相當(dāng)復(fù)雜的腳本來確定設(shè)備的體系結(jié)構(gòu),并使用了多個命令(“wget”、“ftpget”、“ftp”、“busybox wget”或“busybox ftpget”)來確保二進(jìn)制有效載荷的傳遞成功。

感染物聯(lián)網(wǎng)設(shè)備,使用六種方法建立持久性

在接下來,這個腳本會下載針對相應(yīng)設(shè)備架構(gòu)的第一階段有效載荷,它是第二階段有效載荷的一個dropper,并且會一直持續(xù)存在。

據(jù)報道,Torii是繼VPNFilter和Hide and Seek之后第三個會在受感染設(shè)備上建立持久性的物聯(lián)網(wǎng)僵尸病毒。這也意味著,Torii能夠在系統(tǒng)重新啟動之后繼續(xù)運(yùn)行,并且只有通過將固件重置為默認(rèn)配置才能夠清除它。

研究人員發(fā)現(xiàn),Torii使用了六種方法來確保其文件保留在受感染設(shè)備上并持續(xù)運(yùn)行:

通過注入代碼“~.bashrc”實(shí)現(xiàn)自動執(zhí)行;

通過crontab中的“@reboot”子句實(shí)現(xiàn)自動執(zhí)行;

通過systemd作為一個“系統(tǒng)守護(hù)進(jìn)程”服務(wù)實(shí)現(xiàn)自動執(zhí)行;

通過/etc/init和 Once again,作為“系統(tǒng)守護(hù)進(jìn)程”來實(shí)現(xiàn)自動執(zhí)行;

通過修改SELinux策略管理來實(shí)現(xiàn)自動執(zhí)行;

通過/etc/inittab實(shí)現(xiàn)自動執(zhí)行。

Torii的功能很強(qiáng),但尚沒有明確目標(biāo)

雖然對C2服務(wù)器的通信進(jìn)行了加密,并通過TLS特定的端口443進(jìn)行傳輸,但Torii僵尸病毒本身并不使用TLS協(xié)議。

通過這種方式交換的信息有助于對目標(biāo)設(shè)備進(jìn)行指紋識別,因?yàn)門orii僵尸病毒竊取了主機(jī)名、進(jìn)程ID、MAC地址和與系統(tǒng)相關(guān)的其他詳細(xì)信息。

作為物聯(lián)網(wǎng)僵尸病毒而言,它們的預(yù)期目的通常都是分布式拒絕服務(wù)或加密貨幣挖掘,但Torii并沒有表露出這樣的意圖,至少目前是這樣的。

它的具體目標(biāo)目前仍然是一個謎,但可能性很多,因?yàn)樗軌蛟谑芨腥驹O(shè)備上運(yùn)行任何命令。更重要的是,它是采用GOP語言編寫的,這使得它可以重新被編譯,以適應(yīng)各種設(shè)備。

值得注意的是,盡管Torii與比特梵德(Bitdefender)在公司今年1月發(fā)現(xiàn)的Hide and Seek僵尸病毒有一些相似之處,但它們完全是兩碼事。

目前,網(wǎng)絡(luò)安全公司Yoroi的研究員Marco Ramilli也對該僵尸病毒樣本進(jìn)行了分析,并注意到它與Persirai僵尸病毒存在一些相似之處。在去年5月份,該僵尸病毒利用了UPnP協(xié)議的漏洞感染了1000多種型號的IP攝像頭。