Torii е ботмрежа, която задминава Mirai по сложност
Малуерът е засечен от българския експерт Веселин Бончев
Последен ъпдейт на 4 октомври 2018 в 17:13 ч.
Новооткрит малуер използва различни техники, за да остане незабелязан и да изгради ботмрежа от свързани към интернет устройства. Ботнетът е засечен първо от Веселин Бончев от Националната лаборатория по компютърна вирусология (НЛКВ) към БАН. Наречен е Torii, тъй като използва Tor мрежата, за да атакува устройства.
Бончев съобщава за ботнета на 20 септември, след като го засича със своя honeypot. Бончев публикува туит за откритието си, а Avast прави последващ анализ на новооткрития ботнет.
My honeypot just caught something substantially new. Spreads via Telnet but not your run-of-the-mill Mirai variant or Monero miner…
First stage is just a few commands that download a rather sophisticated shell script, disguised as a CSS file. (URL is still live.) pic.twitter.com/r5L0I8PC0h
— Vess (@VessOnSecurity) September 19, 2018
Според Avast Torii засега не е използван за DDoS атаки, спам или копаене на криптовалути, показва проучване на компанията за киберсигурност Avast. Това, което го прави значим, е че за разлика от така популярния ботнет Mirai, използва по-сложни техники за заразяване на устройства. Mirai беше открит през август 2016 г. и засягаше различни устройства като домашни рутери и свързани към интернет камери. Заплахата от него стана значително по-голяма, след като кодът на малуера беше публикуван в интернет за свободно сваляне. Това даде възможност лесно да бъде копиран, модифициран и разпространяван.
Ботмрежа от ново ниво
„За разлика от Mirai, QBot и техните производни, този ботнет се опитва да действа по-скрито и да остане на устройството, след като се инсталира на него. Засега той не прави нещата, които един ботнет обичайно прави – например да осъществява DDoS атаки и да копае криптовалути. Вместо това той притежава богат арсенал от функции за извличане на чувствителна информация и архитектура, способна да изпълнява различни команди и кодове. И всичко това се случва чрез криптирана комуникация“, посочват от Avast.
Според проучването Torii може да засегне голям брой устройства и работи на устройства с различни архитектури на процесора, включително MIPS, ARM, x86, x64, PowerPC, SuperH и други. Предполага се, че малуерът функционира поне от декември 2017 г.
Как протича атаката
Заразяването протича на няколко етапа. В първия етап малуерът открива свързани към интернет устройства и ги тества за слаби потребителски имена и пароли. Когато получи достъп до устройството, Torii се опитва да открие архитектурата на неговия процесор и инсталира пейлоуд. Тъй като има възможност да инсталира пейлоуд за различни и широко използвани процесори, това увеличава значително способността му да засяга голям брой устройства. Инсталирането на пейлоуд става на два етапа и според Avast се използват поне 6 метода, за да се гарантира, че зловредният код ще остане на заразеното устройство.
Другото, което отличава Torii, е, че атаката на устройствата започва от изходни Tor нодове (сървъри, които са част от Tor мрежата). когато се инсталира на едно устройство, малуерът комуникира с командни сървъри чрез криптирана връзка. Анонимизирането помага на ботнета да остане под радара и да не привлича внимание.
„Очевидно е, че Torii е пример за еволюцията на малуера, насочен към интернет на нещата. Неговата сложност е на ниво, каквото не сме виждали досега. След като зарази устройство, Torii изпраща много информация към командния сървър. Освен това. докато има връзка с командния сървър, авторите на атаката могат да стартират зловреден код в заразеното устройство. Това предполага, че Torii може да се превърне в модулна платформа в бъдеще“, коментират от Avast.