Internetom hara novi i još sofisticiraniji IoT botnet Torii

Internetom hara novi i još sofisticiraniji IoT botnet Torii

Foto: Fotolia

Internetom se širi nova prijetnja i mogla bi kompromirati uređaje Interneta stvari (IoT), a koliko je situacija alarmantna potvrđuju sigurnosni stručnjaci ocjenama kako ništa slično nisu vidjeli. Naime, botnet Torii sofisticiraniji je od svega čemu se dosad svjedočilo, što znači da je koju razinu iznad Mirai i QBot botneta, iako je zapravo njihova izvedenica.

Opasnost je prvi otkrio sigurnosni stručnjak koji na Twitteru nosi nadimak VessOnSecurity jer ga je zabilježio u jednom od svojih "honeypotova". Odmah je uvidio o kakvoj se opasnosti radi i podijelio s cijelim svijetom svoja saznanja, kako bi se lakše ljudi mogli zaštititi, odnosno, kako bi se Torii što prije postavila u ropotarnicu povijesti.

"Širi se putem Telneta, ali ne kao Mirai varijanta ili kao Monero miner... Prva faza je samo nekoliko komandi koje preuzmu iznimno sofisticiranu "shell" skriptu, prerušenu kao CSS datoteka. Ona je stvarno sofisticirana, ni blizu kao uobičajene Mirai glupost. Onaj koji stoji iza nje nije prosječni Mirai modder", napisao je VessOnSecurity.

Cijelu situaciju ispitao je i Avast pa otkrio da iza Torii stoji netko s opširnim razumijevanjem načina na koji botneti rade, što je bitno drugačije od jednostavnog "prosljeđivanja" neke od Mirai varijanti, koje su javno dostupne od napada koji se zbio 2016. godine. Dakle, hakeri su napredniji i imaju motiva poigravati se sa stručnjacima, što znači da se i dalje situacija u tom smislu nije promijenila kroz sva ova desetljeća.

Samo, problematično je što se Torii tek sad otkrio, a vjeruje se da postoji od prošle godine i konstantno napada na načine koji prije nisu zabilježeni pa je uspio "zaraziti" arhitekture kao MIPS, ARM, x86, x64, PowerPC, SuperH i mnoge druge... Konačni cilj je jednostavan, nakon što kroz IoT uređaj dođe do sustava, preuzima kontrolu koliko god je to moguće postavljanjem payload malwarea. Za to koristi komande kao "wget", "ftpget", "ftp", "busybox wget," ili "busybox ftpget". Ako se pak ne može probiti do cilja kroz HTTP, botnet će koristiti FTP protokol.

Torii koristi najmanje šest metoda da zadrži prisustvo u kompromitiranom uređaju i sve ih pokreće u isto vrijeme.

  • Automatic execution via injected code into ~\.bashrc
  • Automatic execution via "@reboot" clause in crontab
  • Automatic execution as a "System Daemon" service via systemd
  • Automatic execution via /etc/init and PATH. Once again, it calls itself "System Daemon"
  • Automatic execution via modification of the SELinux Policy Management
  • Automatic execution via /etc/inittab

Za više tehničkih detalja pogledajte Avastovo izvješće OVDJE.

Još iz kategorije

Apple, Google, Microsoft i Mozilla najavili ukidanje podrške za TLS 1.0 i 1.1

Apple, Google, Microsoft i Mozilla najavili ukidanje podrške za TLS 1.0 i 1.1

19.10.2018. komentiraj

Apple, Google, Microsoft i Mozilla najavili su da će onemogućiti podršku za Transparent Layer Security (TLS) 1.0 i 1.1 u svojim internetskim preglednicima u prvoj polovici 2020. godine.

Oko 62 posto web stranica za 10 tjedana će raditi na nepodržanoj verziji PHP-a

Oko 62 posto web stranica za 10 tjedana će raditi na nepodržanoj verziji PHP-a

19.10.2018. komentiraj

Podaci kojima raspolaže W3Techs pokazuju da oko 78,9 posto svih web stranica koriste PHP za rad, što znači da bi za samo deset tjedana 62 posto istih tih web stranica moglo ostati bez PHP podrške. Jer, 31. prosinca ove godine sigurnosna podrška za PHP 5.6.x će službeno biti prekinuta, što znači da će uslijediti kraj podrške za bilo koju od PHP 5.x verzija.

Na Totalni JoomBoos dolazi 50 poznatih youtubera

Na Totalni JoomBoos dolazi 50 poznatih youtubera

18.10.2018. komentiraj

U povodu trećeg rođendana platforme JoomBoos, predstojećeg će se vikenda u zagrebačkoj Areni održati najveći YouTube događaj u regiji. Zagreb će tako 21. listopada postati središte europske YouTube scene, a očekuje se dolazak više od deset tisuća posjetitelja.