Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

botnet  IoT  Torii   venerdì, 28 settembre 2018

I ricercatori del Threat Intelligence Team di Avast hanno pubblicato i risultati dell’analisi di una nuova botnet per dispositivi IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate rispetto a botnet similari, come Mirai e Qbot, le cui varianti sono state protagoniste di numerose campagne di attacchi nel corso del 2018.

Diversamente dalle altre citate, questa nuova botnet, scoperta per la prima volta dal ricercatore Vesselin Bontchev (@VessOnSecurity), non viene al momento utilizzata per effettuare massicci attacchi DDoS o per minare criptovalute, ma presenta un’architettura altamente modulare, con un vasto armamentario di funzionalità che gli consentono di catturare informazioni potenzialmente sensibili, eseguire un gran numero di comandi sui dispositivi attaccati ed impiantare altri eseguibili malevoli.

Il vettore iniziale di attacco avviene via telnet, sfruttando credenziali deboli o note dei dispositivi bersaglio. Stando a quanto riportato dal primo scopritore, gli attacchi provengono da nodi di uscita della rete Tor, da cui deriva il nome scelto per questa nuova minaccia.

Una volta ottenuto l’accesso, come prima cosa viene eseguito uno script di shell che serve principalmente ad individuare l’architettura del sistema e a scaricare il payload adeguato da server remoti mediante connessioni HTTP o FTP. Torii è in grado di infettare una vasta gamma di dispositivi IoT equipaggiati con svariate famiglie di processori, tra le quali MIPS, ARM, x86, x64, PowerPC e SuperH.

Questi payload, tutti eseguibili in formato ELF, hanno funzionalità di dropper per il secondo stadio del malware e utilizzano diversi metodi per rendere l’impianto persistente sul dispositivo infetto.

Il secondo stadio di Torii è il bot vero e proprio, in grado di ricevere comandi dai server C&C e di eseguire funzioni anti-debug e anti-analisi, di estrazione di dati, di cifratura multi-livello delle comunicazioni, che avviene sulla porta TCP 443 (via HTTPS). Torii invia al server C&C informazioni dettagliate sul sistema e sul dispositivo e riceve svariati comandi, ai quali risponde con il risultato dell’operazione effettuata.

Torii è in grado di eseguire numerosi comandi, tra i quali:

  • memorizzare un file ricevuto dal server C&C su un disco locale;
  • ricevere il valore di timeout da utilizzare per il polling C&C;
  • eseguire uno specifico comando in un interprete di shell e inviare il risultato al server C&C;
  • memorizzare un file ricevuto dal server C&C in un determinato percorso, cambiare i suoi flag in “rwxr-xr-x” per renderlo eseguibile e poi eseguirlo;
  • verificare che uno specifico file esiste sul sistema locale e restituirne la dimensione;
  • leggere N byte dall’offset O del file F selezionato e inviarli al server C&C:
  • cancellare un file specificato;
  • scaricare un file da un URL indicato;
  • ottenere l’indirizzo di un nuovo server C&C e iniziare una comuniczione con esso.

Durante l’analisi del server remoto è stato altresì individuato un modulo binario scaricabile via FTP chiamato “sm_packed_agent”. I ricercatori non hanno trovato prove del fatto che sia effettivamente utilizzato dalla botnet, ma hanno scoperto diverse funzioni nell’eseguibile che potrebbero consentire agli attaccanti di inviare comandi ed eseguibili aggiuntivi al dispositivo bersaglio.

L’analisi è ancora in corso, ma i ricercatori ritengono che la botnet Torii sia operativa almeno dal dicembre del 2017. Il post originale sul blog di Avast contiene tutti i dettagli tecnici di questa minaccia, inclusi svariati indicatori di compromissione (IoC).

Notizie correlate

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto

Vulnerabilità multiple in Samsung SmartThings Hub

27 luglio 2018

I ricercatori di sicurezza di Cisco Talos hanno scoperto numerose vulnerabilità nel controller centralizzato SmartThings Hub di Samsung.Leggi tutto