技術(shù)
導(dǎo)讀:捷克安全公司Avast(愛(ài)維士)的安全研究人員發(fā)現(xiàn)了一種新的物聯(lián)網(wǎng)僵尸病毒,并表示它比時(shí)而出現(xiàn)時(shí)而消失的Mirai及其變種更具破壞性。該僵尸病毒的開(kāi)發(fā)人員試圖盡可能廣地?cái)U(kuò)大攻擊覆蓋面,為此他們?yōu)槎鄠€(gè)CPU架構(gòu)創(chuàng)建了相應(yīng)的二進(jìn)制文件,將僵尸病毒設(shè)計(jì)為具備能夠隱身和建立持久性的能力。例如,與命令和控制(C2)服務(wù)器的通信是加密的,功能包括過(guò)濾和命令執(zhí)行。
捷克安全公司Avast(愛(ài)維士)的安全研究人員發(fā)現(xiàn)了一種新的物聯(lián)網(wǎng)僵尸病毒,并表示它比時(shí)而出現(xiàn)時(shí)而消失的Mirai及其變種更具破壞性。
該僵尸病毒的開(kāi)發(fā)人員試圖盡可能廣地?cái)U(kuò)大攻擊覆蓋面,為此他們?yōu)槎鄠€(gè)CPU架構(gòu)創(chuàng)建了相應(yīng)的二進(jìn)制文件,將僵尸病毒設(shè)計(jì)為具備能夠隱身和建立持久性的能力。例如,與命令和控制(C2)服務(wù)器的通信是加密的,功能包括過(guò)濾和命令執(zhí)行。
根據(jù)研究人員的說(shuō)法,Torii僵尸病毒至少?gòu)?017年12月份起就已經(jīng)開(kāi)始活躍了,并且所針對(duì)的設(shè)備涉及多種CPU架構(gòu),如MIPS、ARM、x86、x64、PowerPC和SuperH。
雖然同時(shí)支持對(duì)多平臺(tái)的攻擊對(duì)于Mirai及其變種來(lái)說(shuō)很常見(jiàn),但研究人員表示,Torii所支持的體系結(jié)構(gòu)是他們迄今為止觀察到的各種僵尸病毒所支持體系結(jié)構(gòu)中最大的一個(gè)。
Torii僵尸病毒通過(guò)Tor網(wǎng)絡(luò)實(shí)施攻擊
據(jù)稱(chēng),Torii僵尸病毒的樣本最初是由知名安全研究員Vesselin Bontchev在他的Telnet蜜罐中捕獲到的。他注意到攻擊發(fā)生在Telnet通信專(zhuān)用的端口23上,但通信是通過(guò)Tor網(wǎng)絡(luò)進(jìn)行的,這也就是為什么該僵尸病毒被命名為“Torii”的原因。
Vesselin Bontchev發(fā)現(xiàn),Torii感染了那些Telnet端口暴露并使用弱密碼的系統(tǒng)。它執(zhí)行了一個(gè)相當(dāng)復(fù)雜的腳本來(lái)確定設(shè)備的體系結(jié)構(gòu),并使用了多個(gè)命令(“wget”、“ftpget”、“ftp”、“busybox wget”或“busybox ftpget”)來(lái)確保二進(jìn)制有效載荷的傳遞成功。
感染物聯(lián)網(wǎng)設(shè)備,使用六種方法建立持久性
在接下來(lái),這個(gè)腳本會(huì)下載針對(duì)相應(yīng)設(shè)備架構(gòu)的第一階段有效載荷,它是第二階段有效載荷的一個(gè)dropper,并且會(huì)一直持續(xù)存在。
據(jù)報(bào)道,Torii是繼VPNFilter和Hide and Seek之后第三個(gè)會(huì)在受感染設(shè)備上建立持久性的物聯(lián)網(wǎng)僵尸病毒。這也意味著,Torii能夠在系統(tǒng)重新啟動(dòng)之后繼續(xù)運(yùn)行,并且只有通過(guò)將固件重置為默認(rèn)配置才能夠清除它。
研究人員發(fā)現(xiàn),Torii使用了六種方法來(lái)確保其文件保留在受感染設(shè)備上并持續(xù)運(yùn)行:
通過(guò)注入代碼“~.bashrc”實(shí)現(xiàn)自動(dòng)執(zhí)行;
通過(guò)crontab中的“@reboot”子句實(shí)現(xiàn)自動(dòng)執(zhí)行;
通過(guò)systemd作為一個(gè)“系統(tǒng)守護(hù)進(jìn)程”服務(wù)實(shí)現(xiàn)自動(dòng)執(zhí)行;
通過(guò)/etc/init和 Once again,作為“系統(tǒng)守護(hù)進(jìn)程”來(lái)實(shí)現(xiàn)自動(dòng)執(zhí)行;
通過(guò)修改SELinux策略管理來(lái)實(shí)現(xiàn)自動(dòng)執(zhí)行;
通過(guò)/etc/inittab實(shí)現(xiàn)自動(dòng)執(zhí)行。
Torii的功能很強(qiáng),但尚沒(méi)有明確目標(biāo)
雖然對(duì)C2服務(wù)器的通信進(jìn)行了加密,并通過(guò)TLS特定的端口443進(jìn)行傳輸,但Torii僵尸病毒本身并不使用TLS協(xié)議。
通過(guò)這種方式交換的信息有助于對(duì)目標(biāo)設(shè)備進(jìn)行指紋識(shí)別,因?yàn)門(mén)orii僵尸病毒竊取了主機(jī)名、進(jìn)程ID、MAC地址和與系統(tǒng)相關(guān)的其他詳細(xì)信息。
作為物聯(lián)網(wǎng)僵尸病毒而言,它們的預(yù)期目的通常都是分布式拒絕服務(wù)或加密貨幣挖掘,但Torii并沒(méi)有表露出這樣的意圖,至少目前是這樣的。
它的具體目標(biāo)目前仍然是一個(gè)謎,但可能性很多,因?yàn)樗軌蛟谑芨腥驹O(shè)備上運(yùn)行任何命令。更重要的是,它是采用GOP語(yǔ)言編寫(xiě)的,這使得它可以重新被編譯,以適應(yīng)各種設(shè)備。
值得注意的是,盡管Torii與比特梵德(Bitdefender)在公司今年1月發(fā)現(xiàn)的Hide and Seek僵尸病毒有一些相似之處,但它們完全是兩碼事。
目前,網(wǎng)絡(luò)安全公司Yoroi的研究員Marco Ramilli也對(duì)該僵尸病毒樣本進(jìn)行了分析,并注意到它與Persirai僵尸病毒存在一些相似之處。在去年5月份,該僵尸病毒利用了UPnP協(xié)議的漏洞感染了1000多種型號(hào)的IP攝像頭。