Mostra tutti

Analisi di una Botnet – Come la Botnet Torii attacca i dispositivi IoT

Analisi di una Botnet – Come la Botnet Torii attacca i dispositivi IoT

I ricercatori del Threat Intelligence Team di Avast hanno pubblicato i risultati dell’analisi di una nuova botnet per dispositivi IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate rispetto a botnet similari, come Mirai e Qbot, le cui varianti sono state protagoniste di numerose campagne di attacchi nel corso del 2018.

Diversamente dalle altre citate, questa nuova botnet, scoperta per la prima volta dal ricercatore Vesselin Bontchev (@VessOnSecurity), non viene al momento utilizzata per effettuare massicci attacchi DDoS o per minare criptovalute, ma presenta un’architettura altamente modulare, con un vasto armamentario di funzionalità che gli consentono di catturare informazioni potenzialmente sensibili, eseguire un gran numero di comandi sui dispositivi attaccati ed impiantare altri eseguibili malevoli. Ma prima di approfondire ed analizzare nel dettaglio la Botnet Torii cerchiamo di capire cosa è una Botnet e il suo funzionamento.

Che cos’è una botnet?

Una botnet, o rete di bot (detta anche armata zombi), è una rete composta da un gran numero di computer dirottati da malware al fine di soddisfare i capricci dell’hacker che l’ha ideata. Assumendo il controllo di centinaia o perfino migliaia di computer, le botnet vengono generalmente utilizzate per inviare spam o virus, rubare i dati personali o lanciare attacchi DDoS. Sono considerate una delle principali minacce online odierne.

Da dove provengono le botnet?

Affinché il tuo computer diventi parte di una botnet, deve essere prima infettato da un tipo di malware in grado di contattare un server remoto, o altri computer infettati della rete, al fine di ottenere istruzioni da chi controlla la botnet, in genere hacker o criminali comuni. Pur essendo più vasta e diffusa, un’infezione ideata per inserire un computer in una botnet non è diversa da una comune infezione da malware.

Come si riconoscono le botnet?

È possibile riconoscere un computer infetto da una botnet nello stesso modo in cui si identifica un computer infetto da altri tipi di malware. I segnali includono un rallentamento del computer, un funzionamento insolito dello stesso, la comparsa di messaggi di errore o l’avvio improvviso della ventola con il computer non utilizzato. Questi sono tutti possibili sintomi del controllo in remoto del computer all’interno di una rete di bot.

Botnet Torii, Botnet,

Analizziamo la Botnet Torii

Il vettore iniziale di attacco avviene via telnet, sfruttando credenziali deboli o note dei dispositivi bersaglio. Stando a quanto riportato dal primo scopritore, gli attacchi provengono da nodi di uscita della rete Tor, da cui deriva il nome scelto per questa nuova minaccia.

Una volta ottenuto l’accesso, come prima cosa viene eseguito uno script di shell che serve principalmente ad individuare l’architettura del sistema e a scaricare il payload adeguato da server remoti mediante connessioni HTTP o FTP. Torii è in grado di infettare una vasta gamma di dispositivi IoT equipaggiati con svariate famiglie di processori, tra le quali MIPS, ARM, x86, x64, PowerPC e SuperH.

Questi payload, tutti eseguibili in formato hanno funzionalità di dropper per il secondo stadio del malware e utilizzano diversi metodi per rendere l’impianto persistente sul dispositivo infetto.

Il secondo stadio di Torii è il bot vero e proprio, in grado di ricevere comandi dai server TCP 443 HTTPS. Torii invia al server C&C informazioni dettagliate sul sistema e sul dispositivo e riceve svariati comandi, ai quali risponde con il risultato dell’operazione effettuata.

La Botnet Torii è in grado di eseguire numerosi comandi, tra i quali:

  • memorizzare un file ricevuto dal server C&C su un disco locale;
  • ricevere il valore di timeout da utilizzare per il polling C&C;
  • eseguire uno specifico comando in un interprete di shell e inviare il risultato al server C&C;
  • memorizzare un file ricevuto dal server C&C in un determinato percorso, cambiare i suoi flag in “rwxr-xr-x” per renderlo eseguibile e poi eseguirlo;
  • verificare che uno specifico file esiste sul sistema locale e restituirne la dimensione;
  • leggere N byte dall’offset O del file F selezionato e inviarli al server C&C:
  • cancellare un file specificato;
  • scaricare un file da un URL indicato;
  • ottenere l’indirizzo di un nuovo server C&C e iniziare una comuniczione con esso.

Durante l’analisi del server remoto è stato altresì individuato un modulo binario scaricabile via FTP chiamato I ricercatori non hanno trovato prove del fatto che sia effettivamente utilizzato dalla botnet, ma hanno scoperto diverse funzioni nell’eseguibile che potrebbero consentire agli attaccanti di inviare comandi ed eseguibili aggiuntivi al dispositivo bersaglio.

L’analisi è ancora in corso, ma i ricercatori ritengono che la botnet Torii sia operativa almeno dal dicembre del 2017. Il post originale sul blog di Avast contiene tutti i dettagli tecnici di questa minaccia, inclusi svariati indicatori di compromissione IoC.

Come si rimuove un PC da una botnet?

Per rimuovere un PC da una rete di bot, è necessario rimuovere il software dannoso che lo controlla. Il modo migliore è eseguire una scansione antivirus sul computer, in modo da individuare e rimuovere il malware della botnet; una soluzione semplice a un problema molto grave.

Modi per prevenire un’infezione causata dal malware di una botnet:

  • Installare un software antivirus potente e affidabile nel proprio computer
  • Impostare l’aggiornamento automatico dei software
  • Fare attenzione quando si clicca, si scarica o si apre qualsiasi file

Altri modi per restare protetti dalle botnet:

Per impedire che il tuo computer diventi uno “zombi” arruolato in un’armata di botnet, fai sempre attenzione a qualsiasi download sospetto. Non fare clic su collegamenti o allegati inviati da indirizzi mail che non conosci, e fai sempre attenzione a cosa scarichi sul tuo computer. Mantieni sempre aggiornati i tuoi software e le patch di sicurezza. Cosa ancora più importante, difenditi con un potente antivirus anche gratuito come Avast Antivirus, che proteggerà il tuo computer da ogni infezione causata da malware, botnet o altri attacchi.

 

libro vita da hacker