发现新的恶意 Torii IoT 僵尸网络（发现新的恶意损害）

发现新的恶意 Torii IoT 僵尸网络（发现新的恶意损害）

Torii – 你可能还没有听说过这个名字，但这个新的僵尸网络拥有先进的技术和持久性，几乎对所有类型的计算机都是一种威胁。

从Avast的研究人员警告说，约牌坊，这肯定是不分拆的的未来僵尸网络。他们说，Torii 是“物联网恶意软件演变的一个例子”，“它的复杂程度高于我们以前见过的任何水平。”

首先，Torii 几乎可以在所有现代计算机、智能手机和平板电脑上运行。目标架构包括 x86_64、x86、ARM、MIPS、Motorola 68k、SuperH、PPC 等。Avast 安全研究员 Martin Hron告诉 The Parallax，一台服务器拥有 100 多个版本的恶意软件有效载荷，并支持 15 到 20 种架构。这意味着“团队努力”，因为 Torii 可以做的事情“对于任何人来说都很难完成”。

Torii 恶意软件复杂、持久且难以消除

这种新的恶意软件非常复杂，具有一组令人印象深刻的窃取敏感信息的功能，并且至少有六种方法可以保持持久性。您不会通过重新启动来摆脱 Torii，而其他恶意软件作者也不会通过尝试用他们的恶意软件感染设备来摆脱 Torii。

Torii 是隐形的这一事实影响了它的命名方式。它于 9 月由 Vesselin Bontchev 博士（又名 @VessOnSecurity ）首次发现。由于 Bontchev 发现的 telnet 攻击是通过 Tor 出口节点进入他的蜜罐，因此 Avast 决定将僵尸网络菌株命名为 Torii。

感染首先通过对弱凭据的 telnet 攻击开始。该脚本比其他物联网恶意软件复杂得多，能够下载适当的有效负载以感染如此多的常见架构。

Avast 总结道：

·

·

一旦它感染了设备，它不仅会向 CnC 发送有关其所在机器的大量信息，而且通过与 CnC 通信，它允许 Torii 作者执行任何代码或向受感染设备发送任何有效载荷。这表明 Torii 可以成为未来使用的模块化平台。此外，由于有效载荷本身不会扫描其他潜在目标，因此在网络层非常隐蔽。

鸟居此时没有真正明确的目的

目前，Torii 并未用于“正常”僵尸网络活动，例如DDoS或挖掘加密货币。

“相反，它具有一组非常丰富的功能，用于（敏感）信息的外泄，模块化架构能够通过多层加密通信获取和执行其他命令和可执行文件，”Avast 说。

Hron 告诉 The Parallax，“Torii 是一个用于监视的僵尸网络，或者它只是某些事物的第一阶段，例如框架或工具。” 他将其与 VPN 进行了比较，因为“它既隐藏了流量本身，也隐藏了谁在创建流量。”

至于第二个payload的持久化方法，Avast写道：

“它使用至少六种方法来确保文件保留在设备上并始终运行。而且，不只是执行一种方法——它会运行所有方法。”

1. 通过注入代码自动执行 ~\.bashrc

2. 通过 crontab 中的“@reboot”子句自动执行

3. 通过 systemd 作为“系统守护进程”服务自动执行

4. 通过 /etc/init 和 PATH 自动执行。再一次，它称自己为“系统守护进程”

5. 通过修改 SELinux 策略管理自动执行

6. 通过 /etc/inittab 自动执行

当 Bontchev 第一次发现 Torii 时，他发现 VirusTotal 中没有检测到可执行文件或脚本。这在过去两周发生了变化，但仍远未被大多数人发现。目前，在撰写本文时，它对bg.css 文件进行了58 个引擎的22 次检测和 58 个引擎的10 次检测- Bontchev 指出这是一个“复杂的 shell 脚本”。

Plixer审计与合规总监 Justin Jett建议：

幸运的是，Torii 使用一些常见的网络协议来利用 IoT 设备。首先，它通过 Telnet 传播，从网络的角度来看，这很容易被检测到，但它也会下载有效负载以启用来自 CnC 服务器的命令的执行。鉴于 IoT 设备是专门构建的（意味着它们的功能集非常有限），应监控正常通信集之外的通信，并且 IT 专业人员应迅速调查与他们通常在网络上看不到的设备的通信. 网络流量分析非常适合解决这些类型的攻击，但网络和安全专业人员需要在威胁被识别后共同努力减轻威胁。最后，组织应审核其网络上的物联网设备，以确保默认密码已更改，并已根据需要使用尽可能少的权限进行部署。这将减少像 Torii 这样的僵尸网络可以占据的立足点，并让 IT 专业人员能够在设备受到威胁时获得洞察力。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。