捷克安全公司Avast(爱维士)的安全研究人员发现了一种新的物联网僵尸病毒，并表示它比时而出现时而消失的Mirai及其变种更具破坏性。

该僵尸病毒的开发人员试图尽可能广地扩大攻击覆盖面，为此他们为多个CPU架构创建了相应的二进制文件，将僵尸病毒设计为具备能够隐身和建立持久性的能力。例如，与命令和控制(C2)服务器的通信是加密的，功能包括过滤和命令执行。

根据研究人员的说法，Torii僵尸病毒至少从2017年12月份起就已经开始活跃了，并且所针对的设备涉及多种CPU架构，如MIPS、ARM、x86、x64、PowerPC和SuperH。

虽然同时支持对多平台的攻击对于Mirai及其变种来说很常见，但研究人员表示，Torii所支持的体系结构是他们迄今为止观察到的各种僵尸病毒所支持体系结构中最大的一个。

Torii僵尸病毒通过Tor网络实施攻击

据称，Torii僵尸病毒的样本最初是由知名安全研究员Vesselin Bontchev在他的Telnet蜜罐中捕获到的。他注意到攻击发生在Telnet通信专用的端口23上，但通信是通过Tor网络进行的，这也就是为什么该僵尸病毒被命名为“Torii”的原因。

Vesselin Bontchev发现，Torii感染了那些Telnet端口暴露并使用弱密码的系统。它执行了一个相当复杂的脚本来确定设备的体系结构，并使用了多个命令(“wget”、“ftpget”、“ftp”、“busybox wget”或“busybox ftpget”)来确保二进制有效载荷的传递成功。

感染物联网设备，使用六种方法建立持久性

在接下来，这个脚本会下载针对相应设备架构的第一阶段有效载荷，它是第二阶段有效载荷的一个dropper，并且会一直持续存在。

据报道，Torii是继VPNFilter和Hide and Seek之后第三个会在受感染设备上建立持久性的物联网僵尸病毒。这也意味着，Torii能够在系统重新启动之后继续运行，并且只有通过将固件重置为默认配置才能够清除它。

研究人员发现，Torii使用了六种方法来确保其文件保留在受感染设备上并持续运行：

通过注入代码“~.bashrc”实现自动执行;

通过crontab中的“@reboot”子句实现自动执行;

通过systemd作为一个“系统守护进程”服务实现自动执行;

通过/etc/init和 Once again，作为“系统守护进程”来实现自动执行;

通过修改SELinux策略管理来实现自动执行;

通过/etc/inittab实现自动执行。

Torii的功能很强，但尚没有明确目标

虽然对C2服务器的通信进行了加密，并通过TLS特定的端口443进行传输，但Torii僵尸病毒本身并不使用TLS协议。

通过这种方式交换的信息有助于对目标设备进行指纹识别，因为Torii僵尸病毒窃取了主机名、进程ID、MAC地址和与系统相关的其他详细信息。

作为物联网僵尸病毒而言，它们的预期目的通常都是分布式拒绝服务或加密货币挖掘，但Torii并没有表露出这样的意图，至少目前是这样的。

它的具体目标目前仍然是一个谜，但可能性很多，因为它能够在受感染设备上运行任何命令。更重要的是，它是采用GOP语言编写的，这使得它可以重新被编译，以适应各种设备。

值得注意的是，尽管Torii与比特梵德(Bitdefender)在公司今年1月发现的Hide and Seek僵尸病毒有一些相似之处，但它们完全是两码事。

目前，网络安全公司Yoroi的研究员Marco Ramilli也对该僵尸病毒样本进行了分析，并注意到它与Persirai僵尸病毒存在一些相似之处。在去年5月份，该僵尸病毒利用了UPnP协议的漏洞感染了1000多种型号的IP摄像头。