Ботнет — это компьютерная сеть, состоящая из большого количества компьютеров, на которых скрытно установлено вредоносное ПО, позволяющее злоумышленникам удаленно выполнять любые действия с использованием вычислительных ресурсов зараженных машин. Сотни или даже тысячи зараженных компьютеров, как правило, используются для нелегальной и вредоносной деятельности: рассылки спама, вирусов, похищения личных данных или проведения DDoS-атак.

На сегодняшний день ботнеты считаются одной из самых серьезных киберугроз, а наиболее известным считается Mirai. Но недавно нашими специалистами была обнаружена новая угроза, которая отличается от остальных и использует более продвинутые способы атаки — ботнет Torii.

В отличие от остальных ботнетов, Torii на данный момент не занимается скрытым майнингом криптовалют, атаками на подключенные устройства или DDoS и ничем не выдает свое присутствие.

Тем не менее он обладает гораздо более богатым набором функций для получения конфиденциальной информации, модульной архитектурой, способной извлекать и выполнять другие команды и исполняемые файлы через несколько уровней зашифрованной связи.

Кроме того, Torii может заражать широкий спектр устройств и поддерживает множество архитектур (одно из самых больших из встречавшихся ранее), включая MIPS, ARM, x86, x64, PowerPC и SuperH и другие. Разбор вредоносного штамма показал, что он эксплуатируется как минимум с декабря 2017 года.

Первоначальные атаки направлены на порт 23, типичный для Telnet, однако соединения направляются через сеть Tor — отсюда название Torii.

Если в атакуемой системе соединение Telnet общедоступно и слабо защищено, агент Torii запускает сложный скрипт, который определяет архитектуру устройства для успешной атаки.

Скрипт также использует большое количество разных команд: "wget", "ftpget", "ftp", "busybox wget" или "busybox ftpget", чтобы гарантированно установить вредоносный двоичный код на целевую систему.

Первым в нее загружается дроппер, который одновременно использует несколько различных методов для обеспечения скрытности и сохранности на устройстве.

Вредоносный файл сохраняется в системе после перезагрузки и его процесс всегда активен. Трафик к командным серверам шифруется и перенаправляется через порт TLS 443. При этом само вредоносное ПО не использует протокол TLS. Данный обмен информацией позволяет создать уникальный идентификатор для зараженного устройства — на контрольный сервер высылается имя хоста, идентификатор процесса, MAC-адреса и прочие данные о системе.

Исходя из анализа данной угрозы, Torii можно считать примером эволюции вредоносных программы, нацеленных против устройств интернета вещей. Методы внедрения программы, большое количество поддерживаемых архитектур, количество собираемой информации об устройстве и возможность исполнения любого кода отличает его от других ботнетов.

Подробный анализ проведен Якубом Кроустеком (Jakub Kroustek), Владиславом Ильюшиным (Vladislav Iliushin), Анной Широковой (Anna Shirokova), Яном Недухалом (Jan Neduchal) и Мартином Хроном (Martin Hron) в нашем англоязычном блоге.

Для написания русскоязычного текста были использованы материалы издания CNews. Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.