Torii, una nueva botnet de IoT con seis métodos de persistencia

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Los investigadores de seguridad descubrieron un nuevo botnet IoT que juega en una liga superior a las variantes de Mirai. Los desarrolladores de Torii buscan una amplia cobertura y para este propósito crearon binarios para múltiples arquitecturas de CPU, adaptando el malware para lograr su persistencia. Para ello, laa comunicación con los servidores de comando y control está encriptada y sus capacidades incluyen exfiltración y ejecución de comandos.

Según una investigación de Avast, el malware ha estado activo desde al menos diciembre de 2017 y se dirige a dispositivos con varias arquitecturas de CPU, como MIPS, ARM, x86, x64, PowerPC y SuperH. Aunque el soporte multiplataforma es común entre las amenazas basadas en Mirai, los investigadores dicen que Torii admite uno de los conjuntos de arquitecturas más grandes que han visto hasta ahora.

El investigador de seguridad. Vesselin Bontchev captó una muestra de este malware en su honeypot de Telnet. Notó que el ataque se produjo en el puerto 23 específico de Telnet, pero la comunicación se canalizó a través de la red Tor, un detalle que inspiró a Avast para el nombre de la botnet. Torii infecta sistemas que tienen Telnet expuesto y protegido por credenciales débiles. Ejecuta un script sofisticado que determina la arquitectura del dispositivo y utiliza varios comandos: 'wget,' 'ftpget,' 'ftp,' 'busybox wget,' o 'busybox ftpget', para garantizar la entrega de cargas binarias.

El script luego descarga una carga útil de primera etapa para la arquitectura del dispositivo, que es solo un cuentagotas para la carga útil de la segunda etapa, que también es persistente. "Utiliza al menos seis métodos para asegurarse de que el archivo permanezca en el dispositivo y siempre se ejecute. Y no solo ejecuta un método, sino que los ejecuta todos", descubrieron los investigadores:

Mientras que el tráfico al servidor C&C se cifra y transporta a través del puerto 443 específico de TLS, el malware no utiliza el protocolo TLS. La información intercambiada de esta manera ayuda a tomar las huellas dactilares del dispositivo, ya que el malware exfiltró el nombre de host, el ID del proceso, las direcciones MAC y los detalles relacionados con el sistema.

El propósito esperado de una botnet de IoT son los ataques de denegación de servicio distribuidos o la minería de criptomonedas, pero Torii no muestra tales intenciones; al menos por el momento. Su funcionalidad sigue siendo un misterio por ahora, pero las posibilidades son numerosas, porque puede usarse para ejecutar cualquier comando en el dispositivo infectado.