Torii – 你可能还没有听说过这个名字,但这个新的僵尸 络拥有先进的技术和持久性,几乎对所有类型的计算机都是一种威胁。
从Avast的研究人员警告说,约牌坊,这肯定是不分拆的的未来僵尸 络。他们说,Torii 是“物联 恶意软件演变的一个例子”,“它的复杂程度高于我们以前见过的任何水平。”
首先,Torii 几乎可以在所有现代计算机、智能手机和平板电脑上运行。目标架构包括 x86_64、x86、ARM、MIPS、Motorola 68k、SuperH、PPC 等。Avast 安全研究员 Martin Hron告诉 The Parallax,一台服务器拥有 100 多个版本的恶意软件有效载荷,并支持 15 到 20 种架构。这意味着“团队努力”,因为 Torii 可以做的事情“对于任何人来说都很难完成”。
Torii 恶意软件复杂、持久且难以消除
Torii 是隐形的这一事实影响了它的命名方式。它于 9 月由 Vesselin Bontchev 博士(又名 @VessOnSecurity )首次发现。由于 Bontchev 发现的 telnet 攻击是通过 Tor 出口节点进入他的蜜罐,因此 Avast 决定将僵尸 络菌株命名为 Torii。
感染首先通过对弱凭据的 telnet 攻击开始。该脚本比其他物联 恶意软件复杂得多,能够下载适当的有效负载以感染如此多的常见架构。
Avast 总结道:
鸟居此时没有真正明确的目的
目前,Torii 并未用于“正常”僵尸 络活动,例如DDoS或挖掘加密货币。
“相反,它具有一组非常丰富的功能,用于(敏感)信息的外泄,模块化架构能够通过多层加密通信获取和执行其他命令和可执行文件,”Avast 说。
Hron 告诉 The Parallax,“Torii 是一个用于监视的僵尸 络,或者它只是某些事物的第一阶段,例如框架或工具。” 他将其与 VPN 进行了比较,因为“它既隐藏了流量本身,也隐藏了谁在创建流量。”
至于第二个payload的持久化方法,Avast写道:
“它使用至少六种方法来确保文件保留在设备上并始终运行。而且,不只是执行一种方法——它会运行所有方法。”
- 通过注入代码自动执行 ~.bashrc
- 通过 crontab 中的“@reboot”子句自动执行
- 通过 systemd 作为“系统守护进程”服务自动执行
- 通过 /etc/init 和 PATH 自动执行。再一次,它称自己为“系统守护进程”
- 通过修改 SELinux 策略管理自动执行
- 通过 /etc/inittab 自动执行
Plixer审计与合规总监 Justin Jett建议:
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!