Un Botnet basé sur le réseau d’anonymisation Tor !

1
81

En activité depuis au moins un an et demi, un Botnet vient d’être découvert récemment par Rapid7 et présente la caractéristique d’utiliser aussi bien le réseau d’anonymisation que les fonctionnalités de services cachés qui sont offertes par la solution Open Source TOR.

Des chercheurs de Rapid7 ont récemment découvert un programme malveillant qui s’avère être un Botnet, présentant la caractéristique unique d’utiliser pleinement le réseau d’anonymisation qui se base sur la solution Open Source Tor. Ce Botnet semblant se dédier tout particulièrement aux fraudes bancaires (trojan bancaire), mais également aux attaques par Dénis de Services Distribués (DDoS) de masse et au Bitcoin-mining qui rapporte lorsqu’il est bien utilisé.

Le malware étant diffusé sous la forme d’une archive de quinze méga-octets sur les sites Usenet et autres forums Warez souvent appréciés pour la distribution de contenus piratés. L’archive consiste quant à elle en un Bot Zeus, l’outil CGMiner pour le « minage » Bitcoins, un client Tor pour Microsoft Windows et les fichiers DLL utilisés par CGMiner pour le craquage des valeurs de hachage via CPU/GPU.

Outres les options classiques caractérisant ce type d’outils malicieux, il semblerait par ailleurs que ce Botnet n’utilse pas la solution Tor uniquement pour ses fonctionnalités d’anonymisation réseau, mais également pour celles qui permettent de faire fonctionner des services cachés et ce afin d’héberger les serveurs de commande et de contrôle (C&C).

De ce fait, l’identification et la mise hors service de ces serveurs s’en retrouve d’autant complexifiée pour les chercheurs en sécurité. D’autant que ces services cachés de Tor ne sont pas accessibles directement par l’intermédiaire des adresses IP publiques, ils peuvent donc être hébergés sur des hôtes infectés qui se trouvent derrière des solutions de filtrage ou de la translation réseau NAT.

Depuis au moins un an et demi, le botmaster peut donc discrètement migrer d’un serveur de commande et de contrôle à un autre. Ajoutez à cela que le trafic du Botnet est entièrement chiffré et donc plus difficile à détecter et contrer, en atteste que seul sept des quarante deux solutions antivirales de VirusTotal sont actuellement en mesure de détecter ce code comme malicieux !

Le Botnet ne semble pas prêt d’être démantelé….

 

Source : SecuObs

Les commentaires sont fermés.