Avasts hotlabblag har upptäckt “det mest sofistikerade botnet som de någonsin sett” och det riktar in sig mot IoT-enheter.

Den nya IoT malware stammen / botnet, som företaget har kodnamnet Torii, har spridit över dåligt säkrade telnetjänster med attacken som härrör från Tor Exit nodes.

  • Vi har också markerat det bästa antivirusprogrammet

Leverans av nyttolast

Enligt Avast börjar infektionskedjan med en telnetattack på de svaga referenserna för riktade enheter följt av utförandet av ett initialt skalskript. Skriptet försöker upptäcka arkitekturen för den riktade enheten och när den är klar försöker den ladda ner lämplig nyttolast för enheterna (binära filer i ELF-format).

Kärnfunktionaliteten hos dessa nyttolast är att installera en inre ELF med den första ELF-filen. Detta är den andra etappen som kan köras, vilket är mycket långlivat och använder minst sex metoder för att säkerställa att ELF-filen kvarstår på enheten och alltid körs. Därefter exekveras den inre ELF-enheten för att leverera nyttasteget för andra steget, en fullfjädrad bot som kan exekvera kommandon från sin huvud CnC-server.

Hot detaljer

Torii har ännu inte använts i antingen DDoS-attacker eller för kryptojacking. Istället stjäl malware data från IoT-enheter och tillåter angripare att exekvera kod på distans vilket skulle kunna låta dem köra något kommando på de infekterade maskinerna. Malware kan dock hämta och exekvera andra kommandon med flera lager kryptering.

Torii är en av de mest sofistikerade malware-stammarna som någonsin observerats av Avast. Utöver att dela information om infekterade enheter kan malwareens kommunikation med CnC-servern tillåta upphovsmän att utföra någon kod eller leverera nyttolast till en infekterad enhet. Detta tyder på att Torii kan bli en modulär plattform för framtida bruk.

  • Det här är de bästa gratis verktygen för borttagning av skadliga program