通过TorTorii进行的Telnet攻击目标是物联网设备

安全研究人员发现了一种新的物联网僵尸网络。

僵尸网络的开发人员寻求广泛的覆盖范围，为此他们为多个CPU架构创建了二进制文件，为恶意软件和持久性定制恶意软件。与命令和控制（C2）服务器的通信是加密的，功能包括exfiltration和命令执行。

根据Avast的研究，该恶意软件自2017年12月至今一直处于活跃状态，它针对多种CPU架构上的设备：如MIPS，ARM，x86，x64，PowerPC和SuperH。

虽然多平台支持在基于Mirai的威胁中很常见，但研究人员表示，Torii支持迄今为止他们见过的最大的架构集之一。

Tel的攻击来自Tor

知名安全研究员Vesselin Bontchev博士在他的Telnet蜜罐中发现了这个恶意软件的样本。他注意到攻击发生在特定于Telnet通信的端口23上，但通信是通过Tor网络进行的，这个细节激发了Avast的僵尸网络名称。

我刚刚发现了一些新东西。通过Telnet进行传播但不是普通的Mirai变种或Monero矿工...... 第一阶段只是下载一个相当复杂的shell脚本的一些命令，伪装成CSS文件。（URL仍然有效。）pic.twitter.com/r5L0I8PC0h - Vess（@VessOnSecurity）2018年9月19日

Torii感染Telnet暴露并受弱凭证保护的系统。它执行一个复杂的脚本来确定设备的体系结构，并使用多个命令 - “wget”，“ftpget”，“ftp”，“busybox wget”或“busybox ftpget” - 以确保传递二进制有效负载。

Torii登陆物联网设备留下来

然后，脚本为设备的体系结构下载第一阶段的有效负载，这只是第二阶段有效负载的一个dropper，它也是持久的。

Torii是继VPNFilter 和Hide and Seek之后的第三个IoT僵尸网络，用于在受感染设备上获得持久性。这意味着Torii可以在系统重新启动后继续运行，并且可以通过将固件重置为其默认配置来将其删除。

“它使用至少六种方法来确保文件保留在设备上并始终运行。并且，不仅仅执行一种方法 - 它运行所有这些方法，”研究人员发现：

1. 通过注入的代码自动执行〜 .bashrc
2. 通过crontab中的“@reboot”子句自动执行
3. 通过systemd自动执行“系统守护程序”服务
4. 通过/ etc / init和PATH自动执行。再一次，它称自己为“系统守护进程”
5. 通过修改SELinux策略管理自动执行
6. 通过/ etc / inittab自动执行

Torii是多才多艺的，没有明确的目的

当C2服务器的流量被加密并通过TLS特定端口443传送时，恶意软件不使用TLS协议。

以这种方式交换的信息有助于指纹设备，因为恶意软件泄露了主机名，进程ID，MAC地址和系统相关的详细信息。

物联网僵尸网络的预期目的是分发拒绝服务或挖掘加密货币，但鸟居没有表现出这样的意图; 至少目前。

它的功能目前仍然是个谜，但可能性很多，因为它可用于在受感染设备上运行任何命令。更重要的是，它是用GOP语言编写的，这使得它可以针对各种各样的设备进行重新编译。

“考虑到这个文件在恶意软件分发机器上运行，它很可能是一个后门甚至服务来协调多台机器，”Avast推测。

值得注意的是，尽管Torii与Bitdefender在1月份发现的Hide and Seek IoT僵尸网络共享一些功能，但两者是不同的野兽。

Yoroi网络安全公司的Marco Ramilli分析了恶意软件，并注意到去年5月利用UPnP协议的弱点感染IP摄像机的Persirai蠕虫的相似之处。

它看起来像一个已知的Persirai蠕虫。核心：$ x5 =“npxXoudifFeEgGaACScs”。无论如何感谢分享它@VessOnSecurity它很有趣！pic.twitter.com/BrQzdfMFVB - Marco Ramilli（@Marco_Ramilli）2018年9月27日