應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標(biāo)

2018-09-29 10:15 黑客視界

導(dǎo)讀:捷克安全公司Avast(愛維士)的安全研究人員發(fā)現(xiàn)了一種新的物聯(lián)網(wǎng)僵尸病毒,并表示它比時(shí)而出現(xiàn)時(shí)而消失的Mirai及其變種更具破壞性。該僵尸病毒的開發(fā)人員試圖盡可能廣地?cái)U(kuò)大攻擊覆蓋面,為此他們?yōu)槎鄠€(gè)CPU架構(gòu)創(chuàng)建了相應(yīng)的二進(jìn)制文件,將僵尸病毒設(shè)計(jì)為具備能夠隱身和建立持久性的能力。例如,與命令和控制(C2)服務(wù)器的通信是加密的,功能包括過濾和命令執(zhí)行。

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標(biāo)

捷克安全公司Avast(愛維士)的安全研究人員發(fā)現(xiàn)了一種新的物聯(lián)網(wǎng)僵尸病毒,并表示它比時(shí)而出現(xiàn)時(shí)而消失的Mirai及其變種更具破壞性。

該僵尸病毒的開發(fā)人員試圖盡可能廣地?cái)U(kuò)大攻擊覆蓋面,為此他們?yōu)槎鄠€(gè)CPU架構(gòu)創(chuàng)建了相應(yīng)的二進(jìn)制文件,將僵尸病毒設(shè)計(jì)為具備能夠隱身和建立持久性的能力。例如,與命令和控制(C2)服務(wù)器的通信是加密的,功能包括過濾和命令執(zhí)行。

根據(jù)研究人員的說法,Torii僵尸病毒至少?gòu)?017年12月份起就已經(jīng)開始活躍了,并且所針對(duì)的設(shè)備涉及多種CPU架構(gòu),如MIPS、ARM、x86、x64、PowerPC和SuperH。

雖然同時(shí)支持對(duì)多平臺(tái)的攻擊對(duì)于Mirai及其變種來說很常見,但研究人員表示,Torii所支持的體系結(jié)構(gòu)是他們迄今為止觀察到的各種僵尸病毒所支持體系結(jié)構(gòu)中最大的一個(gè)。

Torii僵尸病毒通過Tor網(wǎng)絡(luò)實(shí)施攻擊

據(jù)稱,Torii僵尸病毒的樣本最初是由知名安全研究員Vesselin Bontchev在他的Telnet蜜罐中捕獲到的。他注意到攻擊發(fā)生在Telnet通信專用的端口23上,但通信是通過Tor網(wǎng)絡(luò)進(jìn)行的,這也就是為什么該僵尸病毒被命名為“Torii”的原因。

比Mirai更厲害的物聯(lián)網(wǎng)僵尸病毒Torii現(xiàn)身,但尚沒有明確攻擊目標(biāo)

Vesselin Bontchev發(fā)現(xiàn),Torii感染了那些Telnet端口暴露并使用弱密碼的系統(tǒng)。它執(zhí)行了一個(gè)相當(dāng)復(fù)雜的腳本來確定設(shè)備的體系結(jié)構(gòu),并使用了多個(gè)命令(“wget”、“ftpget”、“ftp”、“busybox wget”或“busybox ftpget”)來確保二進(jìn)制有效載荷的傳遞成功。

感染物聯(lián)網(wǎng)設(shè)備,使用六種方法建立持久性

在接下來,這個(gè)腳本會(huì)下載針對(duì)相應(yīng)設(shè)備架構(gòu)的第一階段有效載荷,它是第二階段有效載荷的一個(gè)dropper,并且會(huì)一直持續(xù)存在。

據(jù)報(bào)道,Torii是繼VPNFilter和Hide and Seek之后第三個(gè)會(huì)在受感染設(shè)備上建立持久性的物聯(lián)網(wǎng)僵尸病毒。這也意味著,Torii能夠在系統(tǒng)重新啟動(dòng)之后繼續(xù)運(yùn)行,并且只有通過將固件重置為默認(rèn)配置才能夠清除它。

研究人員發(fā)現(xiàn),Torii使用了六種方法來確保其文件保留在受感染設(shè)備上并持續(xù)運(yùn)行:

通過注入代碼“~.bashrc”實(shí)現(xiàn)自動(dòng)執(zhí)行;

通過crontab中的“@reboot”子句實(shí)現(xiàn)自動(dòng)執(zhí)行;

通過systemd作為一個(gè)“系統(tǒng)守護(hù)進(jìn)程”服務(wù)實(shí)現(xiàn)自動(dòng)執(zhí)行;

通過/etc/init和 Once again,作為“系統(tǒng)守護(hù)進(jìn)程”來實(shí)現(xiàn)自動(dòng)執(zhí)行;

通過修改SELinux策略管理來實(shí)現(xiàn)自動(dòng)執(zhí)行;

通過/etc/inittab實(shí)現(xiàn)自動(dòng)執(zhí)行。

Torii的功能很強(qiáng),但尚沒有明確目標(biāo)

雖然對(duì)C2服務(wù)器的通信進(jìn)行了加密,并通過TLS特定的端口443進(jìn)行傳輸,但Torii僵尸病毒本身并不使用TLS協(xié)議。

通過這種方式交換的信息有助于對(duì)目標(biāo)設(shè)備進(jìn)行指紋識(shí)別,因?yàn)門orii僵尸病毒竊取了主機(jī)名、進(jìn)程ID、MAC地址和與系統(tǒng)相關(guān)的其他詳細(xì)信息。

作為物聯(lián)網(wǎng)僵尸病毒而言,它們的預(yù)期目的通常都是分布式拒絕服務(wù)或加密貨幣挖掘,但Torii并沒有表露出這樣的意圖,至少目前是這樣的。

它的具體目標(biāo)目前仍然是一個(gè)謎,但可能性很多,因?yàn)樗軌蛟谑芨腥驹O(shè)備上運(yùn)行任何命令。更重要的是,它是采用GOP語言編寫的,這使得它可以重新被編譯,以適應(yīng)各種設(shè)備。

值得注意的是,盡管Torii與比特梵德(Bitdefender)在公司今年1月發(fā)現(xiàn)的Hide and Seek僵尸病毒有一些相似之處,但它們完全是兩碼事。

目前,網(wǎng)絡(luò)安全公司Yoroi的研究員Marco Ramilli也對(duì)該僵尸病毒樣本進(jìn)行了分析,并注意到它與Persirai僵尸病毒存在一些相似之處。在去年5月份,該僵尸病毒利用了UPnP協(xié)議的漏洞感染了1000多種型號(hào)的IP攝像頭。