压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

新IoT僵尸網(wǎng)絡潛伏周圍，同時運行6個不同例程以實現(xiàn)長期隱蔽駐留。

因為陷入蜜罐的某些實例出自Tor已知節(jié)點，該IoT僵尸網(wǎng)絡得名Torii。其攻擊目標涵蓋多種架構，但功能中似乎并未含有DDoS、垃圾郵件或加密貨幣挖礦等IoT僵尸網(wǎng)絡常見的惡意功能。

不過，該僵尸網(wǎng)絡的信息滲漏功能強大而豐富，還有可通過多層加密通信獲取并執(zhí)行指令及文件的模塊化架構。

安全公司Avast發(fā)現(xiàn)，Torii至少自2017年12月起開始活躍，可感染MIPS、ARM、x86、x64、PowerPC、SuperH、Motorola 68k 等架構驅動的設備。該惡意軟件對遠程登錄(Telnet)協(xié)議弱憑證下手，初步入侵后執(zhí)行Shell腳本以確定設備的架構，并通過HTTP或FTP下載合適的攻擊載荷。

Shell腳本會去取作為第二階段載荷釋放器的二進制文件，該ELF文件通過多種方式嘗試實現(xiàn)長期駐留。二段攻擊載荷包含在該ELF文件中，被安裝到主機系統(tǒng)的偽隨機位置。

載荷執(zhí)行后，釋放器通過6種不同方法實現(xiàn)駐留：

1) 注入代碼到環(huán)境變量設置文件~\.bashrc；

2) 定時任務里添加“@reboot”重啟語句；

3) 作為系統(tǒng)守護服務由systemd添加到開機啟動中；

4) 寫入 /etc/init 和環(huán)境變量PATH；

5) 修改SELinux策略管理；

6) 添加到初始化進程配置文件/etc/inittab中。

作為成熟的僵尸主機，第二階段可以執(zhí)行取自命令與控制(C&C)服務器的指令。該惡意軟件還具備簡單的反調(diào)試技術、數(shù)據(jù)滲漏、多級通信加密和其他功能。

因為第二階段的很多功能在釋放器中也存在，Avast的安全研究員認為，釋放器與第二階段攻擊載荷都是同一個程序員開發(fā)的。不過，釋放器中的代碼不隨目標架構而改變，對所有架構都使用同一套代碼；第二階段攻擊載荷則根據(jù)目標硬件架構不同，代碼略有差異。

該惡意軟件的反分析方法比較簡單，只是在執(zhí)行后睡眠60秒，以及嘗試隨機化進程名以規(guī)避進程黑名單檢測。其作者還刪除了可執(zhí)行文件中的符號，給軟件分析制造困難。

C&C地址以異或(XOR)密鑰字符的方式簡單加密，每個Torii變體都預留了3個C&C地址。自9月15日期，這些域名都解析到66.85.157.90，該IP地址上還托管有其他可疑域名。惡意軟件與C&C服務器的通信經(jīng)由?TCP 443?端口進行。

連接C&C服務器時，Torii會將主機名、進程ID、第二階段可執(zhí)行文件的路徑、/sys/class/net/%interface_name%/address中所有MAC地址機器MD5散列值、調(diào)用uname()獲取到的數(shù)據(jù)(操作系統(tǒng)名、版本、發(fā)行版號、機器ID號)，以及其他指令收集到的額外信息，都滲漏出來。

該惡意軟件不斷輪詢服務器是否有需要執(zhí)行的指令，接收指令并執(zhí)行后返回指令的執(zhí)行結果。

在攻擊者的FTP服務器上發(fā)現(xiàn)的另一個二進制文件 sm_packed_agent 可以用來向目標設備發(fā)送遠程指令。該文件以Go語言編寫，重編譯和平臺遷移很方便，而且可以作為后門或服務協(xié)調(diào)多臺機器。

盡管我們的調(diào)查仍在繼續(xù)，Torii很明顯是IoT惡意軟件進化的一個樣本，其復雜性超越了我們以往所見。Torii一旦感染主機，不僅僅會向C&C發(fā)送有關受害主機的大量信息，還會通過與C&C的通信執(zhí)行任意代碼或投放任意攻擊載荷。在不遠的將來，Torii可能會演進為模塊化的平臺。

Avast披露博客：
https://blog.avast.com/new-torii-botnet-threat-research