Abo
  • Services:

Torii: Neues IoT-Botnetzwerk ist gekommen, um zu bleiben

Die Schadsoftware Torii befällt eine große Bandbreite an Architekturen und versucht im Gegensatz zu vielen anderen Botnetzen, auf den Geräten zu verbleiben. Die IT-Sicherheitsfirma Avast hält das Programm für besonders ausgereift, weiß aber noch nicht, welchem Zweck es dient.

Artikel veröffentlicht am ,
Ob Torii auch in diesem IoT-Toaster steckt?
Ob Torii auch in diesem IoT-Toaster steckt? (Bild: David Becker/Getty Images)

Mit einem Honeypot konnte der Sicherheitsforscher Vesselin Bontchev an ein Exemplar der Schadsoftware Torii gelangen. Das Botnetzwerk kann unterschiedliche Prozessorarchitekturen nutzen und hat damit Zugriff auf eine große Bandbreite an Geräten im Internet der Dinge (IoT). Es versucht auf sechs unterschiedliche Arten, auch bei einem Neustart wieder geladen zu werden. Das IT-Sicherheitsunternehmen Avast hat die Schadsoftware auf ihrem Blog einer eingehenden Analyse unterzogen.

Stellenmarkt
  1. Hays AG, Wiesbaden
  2. via experteer GmbH, verschiedene Standorte (Deutschland, Ungarn, Slowakei)

Torii sucht nach offenen oder mit Standardpasswörtern gesicherten Telnet-Zugängen und gelangt über diese in die Geräte. Die Kommunikation mit Command-and-Control-Servern wickelt die Software über den Anonymisierungsdienst Tor ab, was ihr auch den Namen einbrachte. Die Daten und Befehle werden verschlüsselt über den HTTPS-Port 443 übertragen, allerdings wird im Gegensatz zu dem üblichen TLS eine eigene Verschlüsselung verwendet.

Kann Torii ein Gerät infizieren, überprüft es in einem ersten Schritt die Architektur und lädt anschließend die entsprechenden Payloads nach. Die Software arbeitet dabei mit Standard-Kommandozeilenbefehlen wie wget, ftpget, ftp, busybox wget oder busybox ftpget.

Im Unterschied zu vielen anderen IoT-Botnetzwerken ist Torii auf Persistenz angelegt. Auf sechs unterschiedlichen Wegen versucht es, bei einem Neustart des Gerätes wieder geladen zu werden: Es schreibt sich in die .bashrc, setzt einen @reboot-Cronjob in die crontab, legt sich als System-Daemon via Systemd und unter /etc/init an und es modifiziert das SELinux Policy Management sowie die /etc/inittab, um automatisch gestartet zu werden.

Torii läuft auf insgesamt sieben unterschiedlichen Prozessorarchitekturen und dürfte damit das Botnetz mit der breitesten Geräteunterstützung sein. Neben Arm, x86 und x64 läuft es auch unter MIPS, Motorola 68k, PowerPC und SuperH.

Was die Entwickler des persistenten Botnetzwerks mit den befallenen Geräten vorhaben, ist im Moment noch völlig unklar. Üblicherweise werden Botnetzwerke für DDoS-Angriffe oder Kryptomining verwendet. Torii hingegen nistet sich in den Geräten ein und bleibt durch seine modulare Architektur flexibel, um verschiedene Kommandos auszuführen oder Funktionen nachzuladen. Zudem ist es dazu ausgelegt, (sensible) Informationen auszulesen.

Avast vermutet, dass das Netzerk bereits seit Dezember 2017 aktiv ist. Die Sicherheitsfirma will Torii weiter beobachten und analysieren, hält es aber schon jetzt für eine "Evolution der IoT-Schadsoftware"; der Entwicklungsstand sei ein Level über allem, was man bisher gesehen habe.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

xploded 01. Okt 2018

Es geht eben nicht darum, über "dubiose" Links auf so etwas zu stoßen. Es kann dir auf...

FreiGeistler 01. Okt 2018

Mist :-\

xploded 01. Okt 2018

im Normalfall sollten alle Ports dicht sein, bei der FritzBox ist zumindest erstmal alles...

FreiGeistler 30. Sep 2018

UPnP. Z.B. gewisse Konsolen verweigern mit deaktiviertem UPnP schlicht den (Web-)Dienst...

User_x 30. Sep 2018

wieso kein dns rebind und die update-url kapern?


Folgen Sie uns
       


Lenovo Mirage Solo und Camera - Test

Wir haben laut Lenovo "die nächste Generation VR" getestet. Tipp: Sie ist nicht so viel besser als die letzte.

Lenovo Mirage Solo und Camera - Test Video aufrufen
Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    Autonome Schiffe: Und abends geht der Kapitän nach Hause
    Autonome Schiffe
    Und abends geht der Kapitän nach Hause

    Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
    Ein Bericht von Werner Pluta

    1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
    2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
    3. Power Pac Strom aus dem Container für Ozeanriesen

      •  /