ИБ-специалисты засекли новый ботнет, нацеленный на широкий спектр IoT-оборудования. Зловред, получивший название Torii, устанавливает на скомпрометированное устройство бэкдор, однако не предпринимает других деструктивных действий. Программа нечувствительна к перезагрузке системы и содержит ряд функций, затрудняющих ее обнаружение и анализ.

Новый штамм попался в ловушку болгарского исследователя Весселина Бонтчева (Vesselin Bontchev) 20 сентября. Зловред атаковал сервер ИБ-эксперта через порт 23, зарезервированный для коммуникаций по протоколу Telnet. При этом для связи с C&C программа использовала туннелирование через серверы Tor. Специалист поделился своей находкой с командой аналитиков Avast, которые детально изучили ее возможности и механизм заражения.

Как выяснили исследователи, зловред атакует устройства с ненадежными паролями и выполняет в их памяти скрипт, который определяет тип системы, после чего устанавливает соответствующий ей загрузчик. В арсенале Torii имеется 15 исполняемых файлов для процессоров с архитектурой x86_64, x86, ARM, MIPS, Motorola 68k, SuperH, PPC, а также их разновидностей. Программа использует пять разных команд для доставки ботнета — в случае если макросу не удается установить связь по протоколу HTTP, он обращается к FTP-ресурсу злоумышленников.

Вредоносный модуль, полученный на первом этапе атаки, обфусцирован и применяется для доставки основной полезной нагрузки — исполняемых файлов в формате ELF. За сохранение Torii на зараженном устройстве отвечают шесть функций — они выполняются одновременно, чтобы оставаться в строю даже после перезагрузки системы.

Клиентская часть ботнета устанавливает связь с одним из трех командных серверов и передает на него данные об инфицированной системе. Несмотря на то что вредоносный скрипт обладает возможностью загружать на устройство файлы и выполнять на нем любой сторонний код, на данный момент он не осуществляет никаких действий, свойственных зомби-сетям.

Ботнет связывается с центром управления по защищенному каналу, шифруя каждый из передаваемых пакетов. По мнению специалистов, вредоносная сеть действует с декабря 2017 года. Torii не проявляет активности на инфицированных устройствах, поэтому эксперты затрудняются оценить масштабы заражения. Проанализировав журнал событий командного сервера, ИБ-аналитики пришли к выводу, что за несколько дней в сентябре программа внедрилась в 592  системы.

Torii — уже третий ботнет за последнее время, обладающий специальными возможностями для закрепления на скомпрометированном устройстве. Ранее в этом году специалисты сообщили о пресечении активности вредоносной сети APT-группировки Sofacy, распространявшей зловред VPNFilter. Инфицирование шло с 2016 года — до тех пор, пока сотрудники ФБР не захватили командный сервер злоумышленников.

Еще один устойчивый к перезагрузке системы ботнет появился на радарах исследователей в начале 2018-го. Сеть Hide ‘N Seek изначально была нацелена на IP-камеры, однако позже расширила атаку, включив в список мишеней другие IoT-устройства и даже персональные компьютеры.

Категории: Вредоносные программы