El investigador de seguridad @VessOnSecurity ha detectado a través de uno de sus honeypots un ataque via Telnet que tiene como objetivo dispositivos IoT.
Al igual que Mirai, Torii utiliza fuerza bruta de contraseñas conocidas para llevar a cabo la infección y una vez dentro del dispositivo es donde encontramos la diferencia entre ambas familias. Torii tiene un arsenal de características que van más allá de la realización de ataques DDoS o minar criptomonedas, como la capacidad de enviar información, la ejecución de comandos y ejecutables, y una comunicación cifrada, sin duda un malware en IoT más evolucionado que su predecesor Mirai.
Dentro de la sofisticación que mencionábamos se encuentra que es multiplataforma, las arquitecturas disponibles por el momento son: MIPS, ARM, x86, x64, PowerPC, Motorola 68k y SuperH.
Debido a esta característica multiplataforma, Torii amenaza a una cantidad de dispositivos más amplia que Mirai, y si bien es cierto que el vector de infección es bastante precoz, a día de hoy parece ser más que suficiente para los atacantes que están encontrando en los dispositivos IoT conectados una vía rápida de generación de botnets.
Avast ha llevado a cabo un completo análisis de la muestra que pueden consultar en su blog.
IOCs:
Dominios:
cloud.tillywirtz.com
editor.akotae.com press.eonhep.com web.reeglais.com
top.haletteompson.com trade.andrewabendroth.com
Dominios potenciales: dushe.cc psoriasiafreelife.win q3x1u.psoriasiafreelife.win server.blurayburnersoftware.com http://www.bubo.cc
Ips:
184.95.48.12 104.237.218.82 104.237.218.85 66.85.157.90
Hashes:
Más información:
Twitter Vess:
https://twitter.com/VessOnSecurity
Blog Avast:
https://blog.avast.com/new-torii-botnet-threat-research
Blog Avast:
https://blog.avast.com/new-torii-botnet-threat-research
Deja una respuesta