Abo
  • Services:

Torii: Neues IoT-Botnetzwerk ist gekommen, um zu bleiben

Die Schadsoftware Torii befällt eine große Bandbreite an Architekturen und versucht im Gegensatz zu vielen anderen Botnetzen, auf den Geräten zu verbleiben. Die IT-Sicherheitsfirma Avast hält das Programm für besonders ausgereift, weiß aber noch nicht, welchem Zweck es dient.

Artikel veröffentlicht am ,
Ob Torii auch in diesem IoT-Toaster steckt?
Ob Torii auch in diesem IoT-Toaster steckt? (Bild: David Becker/Getty Images)

Mit einem Honeypot konnte der Sicherheitsforscher Vesselin Bontchev an ein Exemplar der Schadsoftware Torii gelangen. Das Botnetzwerk kann unterschiedliche Prozessorarchitekturen nutzen und hat damit Zugriff auf eine große Bandbreite an Geräten im Internet der Dinge (IoT). Es versucht auf sechs unterschiedliche Arten, auch bei einem Neustart wieder geladen zu werden. Das IT-Sicherheitsunternehmen Avast hat die Schadsoftware auf ihrem Blog einer eingehenden Analyse unterzogen.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Computacenter AG & Co. oHG, Verschiedene Standorte

Torii sucht nach offenen oder mit Standardpasswörtern gesicherten Telnet-Zugängen und gelangt über diese in die Geräte. Die Kommunikation mit Command-and-Control-Servern wickelt die Software über den Anonymisierungsdienst Tor ab, was ihr auch den Namen einbrachte. Die Daten und Befehle werden verschlüsselt über den HTTPS-Port 443 übertragen, allerdings wird im Gegensatz zu dem üblichen TLS eine eigene Verschlüsselung verwendet.

Kann Torii ein Gerät infizieren, überprüft es in einem ersten Schritt die Architektur und lädt anschließend die entsprechenden Payloads nach. Die Software arbeitet dabei mit Standard-Kommandozeilenbefehlen wie wget, ftpget, ftp, busybox wget oder busybox ftpget.

Im Unterschied zu vielen anderen IoT-Botnetzwerken ist Torii auf Persistenz angelegt. Auf sechs unterschiedlichen Wegen versucht es, bei einem Neustart des Gerätes wieder geladen zu werden: Es schreibt sich in die .bashrc, setzt einen @reboot-Cronjob in die crontab, legt sich als System-Daemon via Systemd und unter /etc/init an und es modifiziert das SELinux Policy Management sowie die /etc/inittab, um automatisch gestartet zu werden.

Torii läuft auf insgesamt sieben unterschiedlichen Prozessorarchitekturen und dürfte damit das Botnetz mit der breitesten Geräteunterstützung sein. Neben Arm, x86 und x64 läuft es auch unter MIPS, Motorola 68k, PowerPC und SuperH.

Was die Entwickler des persistenten Botnetzwerks mit den befallenen Geräten vorhaben, ist im Moment noch völlig unklar. Üblicherweise werden Botnetzwerke für DDoS-Angriffe oder Kryptomining verwendet. Torii hingegen nistet sich in den Geräten ein und bleibt durch seine modulare Architektur flexibel, um verschiedene Kommandos auszuführen oder Funktionen nachzuladen. Zudem ist es dazu ausgelegt, (sensible) Informationen auszulesen.

Avast vermutet, dass das Netzerk bereits seit Dezember 2017 aktiv ist. Die Sicherheitsfirma will Torii weiter beobachten und analysieren, hält es aber schon jetzt für eine "Evolution der IoT-Schadsoftware"; der Entwicklungsstand sei ein Level über allem, was man bisher gesehen habe.



Anzeige
Hardware-Angebote
  1. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten

xploded 01. Okt 2018 / Themenstart

Es geht eben nicht darum, über "dubiose" Links auf so etwas zu stoßen. Es kann dir auf...

FreiGeistler 01. Okt 2018 / Themenstart

Mist :-\

xploded 01. Okt 2018 / Themenstart

im Normalfall sollten alle Ports dicht sein, bei der FritzBox ist zumindest erstmal alles...

FreiGeistler 30. Sep 2018 / Themenstart

UPnP. Z.B. gewisse Konsolen verweigern mit deaktiviertem UPnP schlicht den (Web-)Dienst...

User_x 30. Sep 2018 / Themenstart

wieso kein dns rebind und die update-url kapern?

Kommentieren


Folgen Sie uns
       


Assassin's Creed Odyssey - Test

Wir hätten nicht gedacht, dass wir erneut so gerne so viel Zeit in Ubisofts Antike verbringen.

Assassin's Creed Odyssey - Test Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

    •  /