Iot Botnet Torii usa 6 metodos para la persistencia

Los investigadores de seguridad descubrieron un nuevo botnet IoT que está en una liga superior a las variantes de Mirai que suben y bajan diariamente.

Los desarrolladores de la botnet buscan una amplia cobertura y para este propósito crearon binarios para múltiples arquitecturas de CPU, adaptando el malware para el sigilo y la persistencia. La comunicación con los servidores de comando y control (C2) está encriptada y las capacidades incluyen exfiltración y ejecución de comandos.

Según una investigación de Avast, el malware ha estado activo desde al menos diciembre de 2017 y se dirige a dispositivos en varias arquitecturas de CPU: como MIPS, ARM, x86, x64, PowerPC y SuperH.

Aunque el soporte multiplataforma es común entre las amenazas basadas en Mirai, los investigadores dicen que Torii admite uno de los conjuntos de arquitecturas más grandes que han visto hasta ahora.

Ataques Telnet llegando a través de Tor

El reputado investigador de seguridad Dr. Vesselin Bontchev captó una muestra de este malware en su Telnet honeypot. Se dio cuenta de que el ataque estaba en el puerto 23 específico para la comunicación Telnet, pero la comunicación se canalizó a través de la red Tor, un detalle que inspiró a Avast para el nombre de la botnet.

Torii infecta sistemas que tienen Telnet expuesto y protegido por credenciales débiles. Ejecuta un script sofisticado que determina la arquitectura del dispositivo y utiliza varios comandos: 'wget,' 'ftpget,' 'ftp,' 'busybox wget,' o 'busybox ftpget', para garantizar la entrega de cargas binarias.

Torii aterriza en dispositivos IoT para quedarse

El script luego descarga una carga útil de la primera etapa para la arquitectura del dispositivo, que es solo un cuentagotas para la carga útil de la segunda etapa, que también es persistente.

Torii es el tercer botnet de IoT, después de VPNFilter y Hide and Seek, para ganar persistencia en el dispositivo infectado. Esto significa que Torii sobrevive al reinicio del sistema y eliminarlo es posible restableciendo el firmware a su configuración predeterminada.

"Utiliza al menos seis métodos para asegurarse de que el archivo permanezca en el dispositivo y siempre se ejecute. Y no solo se ejecuta un método, sino que los ejecuta todos", descubrieron los investigadores:

  • Ejecución automática mediante código inyectado en ~ \ .bashrc
  • Ejecución automática mediante la cláusula "@reboot" en crontab
  • Ejecución automática como un servicio "System Daemon" a través de systemd
  • Ejecución automática a través de / etc / init y PATH. Una vez más, se llama a sí mismo "Daemon del sistema"
  • Ejecución automática a través de la modificación de SELinux Policy Management
  • Ejecución automática a través de / etc / inittab

Torii es versátil, no tiene un propósito definido

Mientras que el tráfico al servidor C2 se cifra y transporta a través del puerto específico 442 de TLS, el malware no utiliza el protocolo TLS.

La información intercambiada de esta manera ayuda a tomar las huellas dactilares del dispositivo, ya que el malware exfiltró el nombre de host, el ID del proceso, las direcciones MAC y los detalles relacionados con el sistema.

El propósito esperado de una botnet IoT es la denegación de servicio distribuida o la minería para las criptomonedas, pero Torii no muestra tales intenciones; al menos por el momento.

Su funcionalidad sigue siendo un misterio por ahora, pero las posibilidades son numerosas porque puede usarse para ejecutar cualquier comando en el dispositivo infectado. Aún más, el hecho de que esté escrito en lenguaje GOP le permite ser recompilado para una gran variedad de dispositivos.

"Teniendo en cuenta que este archivo se ejecuta en una máquina de distribución de malware, es muy posible que sea una puerta trasera o incluso un servicio para orquestar varias máquinas", supone Avast.

Vale la pena señalar que aunque Torii comparte algunas características con el botnet Hide and Seek IoT descubierto en enero por Bitdefender, los dos son bestias separadas.

Marco Ramilli, de la compañía de seguridad cibernética Yoroi, analizó el malware y notó similitudes con el gusano Persirai que explotó las debilidades en el protocolo UPnP para infectar cámaras IP en mayo del año pasado.

Fecha actualización el 2021-09-28. Fecha publicación el 2018-09-28. Categoría: botnet Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
botnet