Torii får botnet-watchere til at kigge to gange og tænke meget over IoT-sikkerhed

Et botnet af særlig karakter lever i bedste velgående. Type skade? Eksfiltration af oplysninger; kommandoer og eksekverbare via "flere lag af krypteret kommunikation."

Det er ikke let at sammenligne med andre stammer, og sikkerhedsvagter virker ret urolige. I centrum for opmærksomheden er Torii. Botnettet blev opdaget af den bulgarske forsker Vesselin Bontchev den 19. september.

Torii er designet til at fungere på en række hardwaresystemer.

Avast, et sikkerhedsselskab, havde den meget citerede blog, der havde detaljerne om Torii. Bloggen oplyste, at det var ikke endnu en helt almindelig Mirai-variant. ( Bleeping Computer sagde, at det faktisk var "i en liga bedre end" Marai-varianter.)

Jakub Kroustek, Vladislav Iliushin, Anna Shirokova, Jan Neduchal og Martin Hron sagde i bloggen, at dette var en ny malware-stamme. I modsætning til andre botnets, denne brugte teknikker, som de karakteriserede som avancerede og, sammenlignet med andre botnets, mere snigende og vedholdende.

"Den bruger mindst seks metoder til at sikre, at filen forbliver på enheden og altid kører, "sagde Ionut Ilascu Bleeping Computer . Som forskerne opdagede, rapporten tilføjede, "ikke kun én metode udføres - den kører dem alle."

Andre beskrivelser var på websteder, bl.a Parallaksen . Sidstnævnte sagde, at hackere blev fanget i at surre internetforbundne enheder sammen - og spille med teknikker, der ikke er set før, skrev Seth Rosenblatt. De (1) opsnapper og stjæler data, og (2) de bruger Tor og dets netværk af anonymt forbundne computere til at skjule internettrafik, han tilføjede.

Vente, hvad er Tor-forbindelsen? Jai Vijayan ind Mørk læsning sagde, "telnet-angrebene, hvorigennem det udbredes, er kommet fra Tor-udgangsnoder."

Bloggens forfattere sagde, at undersøgelsen fortsatte. De sagde, at det var klart, at Torii var "et eksempel på udviklingen af ​​IoT-malware." Torii kunne blive en modulær platform til fremtidig brug.

Blogforfatterne:"Selvom vores undersøgelse fortsætter, det er klart, at Torii er et eksempel på udviklingen af ​​IoT -malware, og at dens sofistikering er et niveau over noget, vi har set før. Når det inficerer en enhed, ikke kun sender den en hel del information om den maskine, den befinder sig på, til CnC, men ved at kommunikere med CnC, det giver Torii-forfattere mulighed for at udføre enhver kode eller levere enhver nyttelast til den inficerede enhed."

Vijayan i Mørk læsning fortalte på samme måde læserne, hvad det var optimeret til at gøre – stjæle data fra IoT-enheder.

Bradley Barth, SC Media, delte e-mail-kommentarer med sine læsere fra Rod Soto, direktør for sikkerhedsforskning hos JASK. Soto sagde, at dårlig sikkerhedspraksis i IoT-området åbner døren til kampagner som denne. "Så længe der er millioner af disse enheder uden stærk sikkerhedsbeskyttelse på plads, der vil fortsat være mange versioner af Mirai og Torii-lignende botnets."

Mørk læsning 's artikel sagde "Toriis understøttelse af et stort antal almindelige arkitekturer giver den mulighed for at inficere alt med åbent telnet, som omfatter millioner af IoT-enheder. bekymrende, det er sandsynligt, at malware-forfatterne også har andre angrebsvektorer, men telnet er den eneste vektor, der er blevet brugt indtil videre, Hron noterer. "

© 2018 Tech Xplore