Обнаружен боевой ботнет для MIPS, ARM и x86. Кто его будущая цель?

Софт Безопасность Интернет
мобильная версия
, Текст: Роман Георгиев

Ботнет Torii поддерживает шесть разных архитектур и применяет одновременно шесть разных методов обеспечения скрытности и устойчивого присутствия. С какой конкретной целью он создавался, до конца не ясно.


В каждой архитектуре затычка

Эксперты по безопасности фирмы Avast обнаружили новый ботнет интернета вещей Torii, чьи возможности и особенности вызывают серьезную тревогу. По всей видимости, его создатели поставили себе цель сделать «идеальный» ботнет, — существующий максимально скрытно, поддерживающий максимальное количество платформ и пригодный для использования в любых целях.

По данным экспертов Avast, ботнет функционирует самое позднее с декабря 2017 г. Его вредоносный агент способен атаковать и выживать на архитектурах MIPS, ARM, x86, x64, PowerPC и SuperH.Первоначальные атаки направлены на порт 23, типичный для Telnet, однако соединения направляются через сеть Tor.

Если в атакуемой системе соединениеTelnet общедоступно и слабо защищено, агент Torii запускает сложный скрипт, который определяет архитектуру устройства. Скрипт также использует большое количество разных команд — wget, ftpget, ftp, busybox wget или busybox ftpget — чтобы гарантированно установить вредоносный двоичный код на целевую систему.

snajper600.jpg
Выявлен универсальный ботнет повышенной скрытности

Первым в нее загружается так называемый дроппер (троян), использующий определенные методы скрытности и обеспечения сохранности себя в системе. То же самое касается и любых данных, которые закачивает дроппер.

Зачем именно создавался Torii и какие функции может выполнять, пока остается загадкой. Сегодня ботнеты интернета вещей чаще всего используются для DDoS-атак или криптомайнинга, однако ни того, ни другого эксперты пока воочию не наблюдали. Сейчас вредоносный агент Torii может выполнять на зараженном устройстве любые команды.

Шесть оттенков скрытности

Как выяснили эксперты, Torii использует как минимум шесть различных методов автоматического обеспечения устойчивого присутствия, причем запускает все разом:через код, внедренный ~\.bashrc, через команду “@reboot” в crontab, в виде службы «системный демон» (systemd), через /etc/init и PATH (снова в качестве системного демона), через изменение настроек политики (Policy Management) в SELinux, через /etc/inittab.

Тем самым вредоносный файл сохраняется в системе после перезагрузки и его процесс всегда активен.Трафик к командным серверам шифруется и перенаправляется через порт TLS 443. При этом сама вредоносная программа не использует протокол TLS.

Данный обмен информацией позволяет создать уникальный идентификатор для зараженного устройства — на контрольный сервер высылается имя хоста, идентификатор процесса, MAC-адреса и прочие данные о системе.

Функционально Torii отдаленно напоминает другой ботнет — Hide and Seek.Однако эксперт Марко Рамилли (Marco Ramilli) из компании Yoroi провел реверсный инжиниринг вредоносного агента и обнаружил, что он сильно напоминает червь Persirai, который в мае прошлого года использовался для заражения IP-камер.

«Ботнеты интернета вещей существуют в первую очередь благодаря пренебрежительному отношению пользователей к защите устройств, — указывает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Torii может быть универсальным, многофункциональным и, в целом, представлять большую угрозу, нежели многие другие, но вектор первичного заражения абсолютно банален: Telnet-консоль, “открытая всем ветрам”. Устройства интернета вещей требуют столь же внимательного и осторожного обращения, как и персональные компьютеры».