Abo
  • Services:

Torii: Neues IoT-Botnetzwerk ist gekommen, um zu bleiben

Die Schadsoftware Torii befällt eine große Bandbreite an Architekturen und versucht im Gegensatz zu vielen anderen Botnetzen, auf den Geräten zu verbleiben. Die IT-Sicherheitsfirma Avast hält das Programm für besonders ausgereift, weiß aber noch nicht, welchem Zweck es dient.

Artikel veröffentlicht am ,
Ob Torii auch in diesem IoT-Toaster steckt?
Ob Torii auch in diesem IoT-Toaster steckt? (Bild: David Becker/Getty Images)

Mit einem Honeypot konnte der Sicherheitsforscher Vesselin Bontchev an ein Exemplar der Schadsoftware Torii gelangen. Das Botnetzwerk kann unterschiedliche Prozessorarchitekturen nutzen und hat damit Zugriff auf eine große Bandbreite an Geräten im Internet der Dinge (IoT). Es versucht auf sechs unterschiedliche Arten, auch bei einem Neustart wieder geladen zu werden. Das IT-Sicherheitsunternehmen Avast hat die Schadsoftware auf ihrem Blog einer eingehenden Analyse unterzogen.

Stellenmarkt
  1. Thorlabs GmbH, Dachau
  2. Stadtwerke München GmbH, München

Torii sucht nach offenen oder mit Standardpasswörtern gesicherten Telnet-Zugängen und gelangt über diese in die Geräte. Die Kommunikation mit Command-and-Control-Servern wickelt die Software über den Anonymisierungsdienst Tor ab, was ihr auch den Namen einbrachte. Die Daten und Befehle werden verschlüsselt über den HTTPS-Port 443 übertragen, allerdings wird im Gegensatz zu dem üblichen TLS eine eigene Verschlüsselung verwendet.

Kann Torii ein Gerät infizieren, überprüft es in einem ersten Schritt die Architektur und lädt anschließend die entsprechenden Payloads nach. Die Software arbeitet dabei mit Standard-Kommandozeilenbefehlen wie wget, ftpget, ftp, busybox wget oder busybox ftpget.

Im Unterschied zu vielen anderen IoT-Botnetzwerken ist Torii auf Persistenz angelegt. Auf sechs unterschiedlichen Wegen versucht es, bei einem Neustart des Gerätes wieder geladen zu werden: Es schreibt sich in die .bashrc, setzt einen @reboot-Cronjob in die crontab, legt sich als System-Daemon via Systemd und unter /etc/init an und es modifiziert das SELinux Policy Management sowie die /etc/inittab, um automatisch gestartet zu werden.

Torii läuft auf insgesamt sieben unterschiedlichen Prozessorarchitekturen und dürfte damit das Botnetz mit der breitesten Geräteunterstützung sein. Neben Arm, x86 und x64 läuft es auch unter MIPS, Motorola 68k, PowerPC und SuperH.

Was die Entwickler des persistenten Botnetzwerks mit den befallenen Geräten vorhaben, ist im Moment noch völlig unklar. Üblicherweise werden Botnetzwerke für DDoS-Angriffe oder Kryptomining verwendet. Torii hingegen nistet sich in den Geräten ein und bleibt durch seine modulare Architektur flexibel, um verschiedene Kommandos auszuführen oder Funktionen nachzuladen. Zudem ist es dazu ausgelegt, (sensible) Informationen auszulesen.

Avast vermutet, dass das Netzerk bereits seit Dezember 2017 aktiv ist. Die Sicherheitsfirma will Torii weiter beobachten und analysieren, hält es aber schon jetzt für eine "Evolution der IoT-Schadsoftware"; der Entwicklungsstand sei ein Level über allem, was man bisher gesehen habe.



Anzeige
Spiele-Angebote
  1. 53,99€ statt 69,99€
  2. 46,99€ (Release 19.10.)
  3. 19,49€
  4. 31,49€

xploded 01. Okt 2018 / Themenstart

Es geht eben nicht darum, über "dubiose" Links auf so etwas zu stoßen. Es kann dir auf...

FreiGeistler 01. Okt 2018 / Themenstart

Mist :-\

xploded 01. Okt 2018 / Themenstart

im Normalfall sollten alle Ports dicht sein, bei der FritzBox ist zumindest erstmal alles...

FreiGeistler 30. Sep 2018 / Themenstart

UPnP. Z.B. gewisse Konsolen verweigern mit deaktiviertem UPnP schlicht den (Web-)Dienst...

User_x 30. Sep 2018 / Themenstart

wieso kein dns rebind und die update-url kapern?

Kommentieren


Folgen Sie uns
       


Assassin's Creed Odyssey - Test

Wir hätten nicht gedacht, dass wir erneut so gerne so viel Zeit in Ubisofts Antike verbringen.

Assassin's Creed Odyssey - Test Video aufrufen
Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Kaufberatung: Der richtige smarte Lautsprecher
Kaufberatung
Der richtige smarte Lautsprecher

Der Markt für smarte Lautsprecher wird immer größer. Bei der Entscheidung für ein Gerät sind Kaufpreis und Klang wichtig, ebenso die Wahl für einen digitalen Assistenten: Alexa, Google Assistant oder Siri? Wir geben eine Übersicht.
Von Ingo Pakalski

  1. Amazon Alexa Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
  2. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  3. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark

Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

    •  /