Abo
  • IT-Karriere:

Torii: Neues IoT-Botnetzwerk ist gekommen, um zu bleiben

Die Schadsoftware Torii befällt eine große Bandbreite an Architekturen und versucht im Gegensatz zu vielen anderen Botnetzen, auf den Geräten zu verbleiben. Die IT-Sicherheitsfirma Avast hält das Programm für besonders ausgereift, weiß aber noch nicht, welchem Zweck es dient.

Artikel veröffentlicht am ,
Ob Torii auch in diesem IoT-Toaster steckt?
Ob Torii auch in diesem IoT-Toaster steckt? (Bild: David Becker/Getty Images)

Mit einem Honeypot konnte der Sicherheitsforscher Vesselin Bontchev an ein Exemplar der Schadsoftware Torii gelangen. Das Botnetzwerk kann unterschiedliche Prozessorarchitekturen nutzen und hat damit Zugriff auf eine große Bandbreite an Geräten im Internet der Dinge (IoT). Es versucht auf sechs unterschiedliche Arten, auch bei einem Neustart wieder geladen zu werden. Das IT-Sicherheitsunternehmen Avast hat die Schadsoftware auf ihrem Blog einer eingehenden Analyse unterzogen.

Stellenmarkt
  1. Fresenius Medical Care Thalheim GmbH, Stollberg, Sachsen bei Ansbach
  2. VSE Aktiengesellschaft, Saarbrücken

Torii sucht nach offenen oder mit Standardpasswörtern gesicherten Telnet-Zugängen und gelangt über diese in die Geräte. Die Kommunikation mit Command-and-Control-Servern wickelt die Software über den Anonymisierungsdienst Tor ab, was ihr auch den Namen einbrachte. Die Daten und Befehle werden verschlüsselt über den HTTPS-Port 443 übertragen, allerdings wird im Gegensatz zu dem üblichen TLS eine eigene Verschlüsselung verwendet.

Kann Torii ein Gerät infizieren, überprüft es in einem ersten Schritt die Architektur und lädt anschließend die entsprechenden Payloads nach. Die Software arbeitet dabei mit Standard-Kommandozeilenbefehlen wie wget, ftpget, ftp, busybox wget oder busybox ftpget.

Im Unterschied zu vielen anderen IoT-Botnetzwerken ist Torii auf Persistenz angelegt. Auf sechs unterschiedlichen Wegen versucht es, bei einem Neustart des Gerätes wieder geladen zu werden: Es schreibt sich in die .bashrc, setzt einen @reboot-Cronjob in die crontab, legt sich als System-Daemon via Systemd und unter /etc/init an und es modifiziert das SELinux Policy Management sowie die /etc/inittab, um automatisch gestartet zu werden.

Torii läuft auf insgesamt sieben unterschiedlichen Prozessorarchitekturen und dürfte damit das Botnetz mit der breitesten Geräteunterstützung sein. Neben Arm, x86 und x64 läuft es auch unter MIPS, Motorola 68k, PowerPC und SuperH.

Was die Entwickler des persistenten Botnetzwerks mit den befallenen Geräten vorhaben, ist im Moment noch völlig unklar. Üblicherweise werden Botnetzwerke für DDoS-Angriffe oder Kryptomining verwendet. Torii hingegen nistet sich in den Geräten ein und bleibt durch seine modulare Architektur flexibel, um verschiedene Kommandos auszuführen oder Funktionen nachzuladen. Zudem ist es dazu ausgelegt, (sensible) Informationen auszulesen.

Avast vermutet, dass das Netzerk bereits seit Dezember 2017 aktiv ist. Die Sicherheitsfirma will Torii weiter beobachten und analysieren, hält es aber schon jetzt für eine "Evolution der IoT-Schadsoftware"; der Entwicklungsstand sei ein Level über allem, was man bisher gesehen habe.



Anzeige
Hardware-Angebote
  1. 259€ + Versand oder kostenlose Marktabholung
  2. 72,99€ (Release am 19. September)
  3. 239,00€

xploded 01. Okt 2018

Es geht eben nicht darum, über "dubiose" Links auf so etwas zu stoßen. Es kann dir auf...

FreiGeistler 01. Okt 2018

Mist :-\

xploded 01. Okt 2018

im Normalfall sollten alle Ports dicht sein, bei der FritzBox ist zumindest erstmal alles...

FreiGeistler 30. Sep 2018

UPnP. Z.B. gewisse Konsolen verweigern mit deaktiviertem UPnP schlicht den (Web-)Dienst...

User_x 30. Sep 2018

wieso kein dns rebind und die update-url kapern?


Folgen Sie uns
       


Harry Potter Wizards Unite angespielt

Harry Potter Go? Zum Glück hat der neue AR-Titel auch ein paar eigene Ideen zu bieten.

Harry Potter Wizards Unite angespielt Video aufrufen
Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /