Encyclopédie des botnets

Cette campagne est identifiée grâce au script Bash qu'elle dépose sur les serveurs infectés, nommé 8UsA.sh. De premiers incidents ont été observés en 2018, mais la vague d'attaques la plus récente a commencé en juin 2020. Les serveurs compromis se connectent au serveur de commande et de contrôle et téléchargent un échantillon de logiciels malveillants DDoS, compilé pour son architecture spécifique. La communication C2 s'effectue sur le port 5555 et le DDoS sur Telnet (port TCP 23). Le principal C2 semble être hébergé par Frantech Solutions, qui ne fournit plus de services.

La campagne 911 (Nine-One-One) déploie une variante de Mirai connue appelée Sora. Active depuis début avril 2020, cette campagne cible les terminaux IoT depuis au moins quatre mois. Selon de récents rapports, la variante Sora exploite des vulnérabilités d'exécution de code à distance et de contournement d'authentification dans les routeurs Huawei et Dasan GPON. Une autre caractéristique de cette variante est sa clé de cryptage XOR, la valeur 0xDEDEFBAF. Chaque chaîne du processus du logiciel malveillant est décryptée en mémoire à l'aide de cette clé et est immédiatement cryptée à nouveau pour éviter la détection reposant sur la mémoire. Le nom de cette campagne de botnets est dérivé des binaires de logiciels malveillants déployés, « 911 », avec une extension qui correspond à l'architecture de la victime.

Pour plus de lecture, rendez-vous sur  CERT.PL (polonais) | Trendmicro

B3astMode est un botnet DDoS basé sur le Mirai ciblant les serveurs SSH, les routeurs Huawei HG532 et les terminaux IoT. Dans cette campagne, l'attaquant tente de pirater des serveurs SSH en utilisant la force brute. En cas de succès, le pirate se connecte au serveur C&C et télécharge une charge utile malveillante nommée B3astMode, en fonction de l'architecture de la victime.

Afin d'étendre le réseau de botnets de l'attaque, le logiciel malveillant tente d'exploiter 2 vulnérabilités d'exécution de code à distance (RCE) :

• CVE-2017-17215 dans le routeur Huawei sur le port TCP 37215.
• Une vulnérabilité dans les enregistreurs vidéo numériques fabriqués par MVPower sur le port TCP 60001.

En faisant intrusion sur ces terminaux, le pirate amplifie le volume des attaques de flux TCP et UDP effectuées. Au moment de la rédaction, près de 200 000 terminaux étaient susceptibles d'être victimes de cette attaque.

Pour plus de lecture, consultez les liens ci-dessous :

CERT.PL (polonais) | Trendmicro

BashLegend est une campagne d'attaque menée par un hacker nommé UzzySenpai. De premières attaques ont été détectées par les capteurs de Guardicore en mai 2020, mais la vague actuelle a commencé fin août.

Dans cette campagne, le pirate attaque en force les serveurs SSH publics. Une fois la connexion établie, le pirate télécharge un fichier exécutable nommé .0803 à partir de son serveur de commande et de contrôle. Ce fichier est une version brouillée d'un outil open source appelé RootHelper qui « facilite le processus d'escalade des privilèges sur un système Linux compromis », selon sa description sur GitHub.

Ensuite, un mineur XMnig Monero est téléchargé en même temps qu'une configuration JSON. Depuis son apparition, nous avons observé qu'un seul portefeuille était utilisé : 89QZqpUHJBUJTYWKXxcHMrWrsJNVhKLUh2EmYd9KbBkmNhY6MNcJc8BJJ89QE621aLWuffSWHe2y7cA9up7t2kohJH42rWY. 

Le mineur de cryptomonnaies de BashLegend désigne ses employés en utilisant le nombre de cœurs de processeur sur la machine compromise (par exemple 1-Squad, 4-Squad, etc.). Ce qui nous donne un aperçu de la nature des victimes. Certains employés actifs sont nommés 60-Squad, ce qui indique qu'au moins une victime avec 60 cœurs de processeur a été touchée par l'attaque. Les chaînes observées dans les fichiers d'attaque, combinées aux premières attaque qui ont commencé en Roumanie, suggèrent fortement que l'opérateur BashLegend est d'origine roumaine.

Bins est une famille de campagnes d'attaque DDoS. Les logiciels malveillants qu'elles propagent sont une variante de Mirai, avec diverses fonctions telles que les envois massifs de paquets UDP et TCP, l'usurpation de l'IP, etc. Certains échantillons de logiciels malveillants se déguisent comme le processus daemon SSH ou le serveur SSH léger « DopBear ». Les différents noms du fichier de logiciel malveillant indiquent exactement quelles architectures sont ciblées : mips, mipsel, sh4, x86, armv6l, i686, powerpc, i586, m68k, sparc, armv4l et armv5l.

Pour plus de lecture, cliquez sur le lien ci-dessous : 

Stratosphere IPS

Une attaque par ransomware commence par une violation initiale, souvent rendue possible par l'ingénierie sociale, un e-mail d'hameçonnage, une pièce jointe malveillante ou des vulnérabilités dans le périmètre du réseau. Le logiciel malveillant commencera à se déplacer dans votre réseau et tentera de maximiser les dommages à partir de son point d'entrée. En général, les acteurs malveillants cherchent à prendre le contrôle d'un contrôleur de domaine, à compromettre les informations d'identification et à localiser et crypter les sauvegardes de données en place pour empêcher les opérateurs de restaurer les services infectés et gelés.

Observé dans le GGSN depuis fin 2019, la campagne de minage de cryptomonnaie FaNeL semble être gérée par un hacker individuel basé en Roumanie. FaNeL met en péril les machines en compromettant leur service SSH, télécharge divers scripts pour analyser les ressources disponibles (processeur, mémoire et espace disque) et exécute un mineur de cryptomonnaie XMRig. Les outils d'attaque de FaNeL sont mis à la disposition d'autres groupes d'attaque et de pirates informatiques : préfixes ASN, listes de mots de passe et scripts de test de vitesse pour n'en nommer que quelques-uns. Certaines des attaques capturées par Guardicore sont identifiées comme « humaines », ce qui implique que le pirate teste et évalue encore le flux des attaques et leur efficacité.

FritzFrog est un botnet P2P unique et sophistiqué, actif depuis janvier 2020. Les pirates parviennent à accéder aux serveurs SSH en utilisant la force brute et déploient un logiciel malveillant de ver complexe écrit dans Golang. Une porte dérobée sous forme de clé SSH publique est ajoutée au fichier authorized_keys de la victime. Le logiciel malveillant commence immédiatement à surveiller le port 1234, où il reçoit des commandes de ses homologues du réseau. Le logiciel malveillant FritzFrog s'efforce d'éliminer les concurrents en supprimant les processus exigeant pour les processeurs sur le système Linux où il s'exécute.

Pour plus de lecture, veuillez consulter l'article de blog en cliquan ici.

GhOul est une campagne DDoS observée depuis juin dans les capteurs de Guardicore. Cependant, elle a été observée encore plus tôt, vers février. GhOul s'étend sur les serveurs SSH pour infecter les machines Linux avec des logiciels malveillants DDoS. Ce logiciel malveillant est basé sur Mirai, compilé pour diverses architectures et est similaire aux variantes Helios et Hakai (voir les liens ci-dessous). Sa liste de commandes C2 comprend : « TCP, SYN, ACK, XMAS, STOMP, UDPREG, UDPHEX, UDPRAW, HTTPSTOPM, HTTP, VSE, STD, OVH, STOP, KILL », tous semblent être des attaques DDoS sur divers protocoles utilisant différents formats de charge utile. La plupart des attaques observées par les capteurs de Guardicore proviennent de machines appartenant à OVH, en France. Les serveurs de commande et de contrôle (8 observés pendant la période active de la campagne) sont des machines basées en Allemagne, en France et en Iran. La communication C2 s'effectue sur le port 3333, comme cela est nécessaire pour recevoir la liste des cibles DDoS.

Pour plus de lecture, consultez les liens ci-dessous :

Helios (Security Art Work) | Variante de Hakai (Stratosphere IPS)

La campagne d'attaque k8h3d combine un mineur de cryptomonnaie Monero et un module de ver qui exploite EternalBlue pour obtenir un mouvement latéral. Au départ, l'attaquant corrompt les machines victimes via MS-SQL. Ensuite, le pirate crée un nouvel utilisateur nommé « k8h3d » avec le mot de passe « k8d3j9SjfS7 » et transforme le mot de passe d'administrateur système MS-SQL en une chaîne aléatoire. Une fois l'utilisateur de la porte dérobée créé, il est utilisé par le pirate pour se connecter à la machine via SMB et supprimer plusieurs scripts malveillants et fichiers binaires. Il s'agit notamment d'un dropper, d'un cheval de Troie, d'un mineur de cryptomonnaie Monero et d'un ver EternalBlue. Les charges utiles malveillantes restent persistantes en installant des tâches et des services programmés (les noms incluent « Autocheck », « Autoscan », « Bluetooths », « DnsScan », « WebServers » et « Ddriver »). En outre, les informations système sont envoyées aux serveurs de commande et de contrôle du pirate, à partir desquels des charges utiles supplémentaires peuvent être téléchargées et exécutées.

Pour plus de lecture, cliquez sur le lien ci-dessous :

BitDefender

L'examen d'un binaire ARM récemment observé a révélé l'adaptation de CVE-2021-44228 pour infecter et aider à la prolifération des logiciels malveillants utilisés par le botnet Mirai. Comme mentionné dans les précédents articles de blog d'Akamai, CVE-2021-44228 est une vulnérabilité d'exécution de code à distance (RCE) non authentifiée dans Log4j.

Cette vulnérabilité affecte plusieurs versions de Log4j et les applications qui en dépendent. Il s'agit notamment d'Apache Struts2, d'Apache Solr, d'Apache Druid, d'Apache Flink et de bien d'autres. Comme nous l'avons déjà mentionné, nous encourageons fortement l'installation de correctifs contre cette vulnérabilité et Akamai a déployé des jeux de règles pour aider les clients à limiter les attaques.

Pour plus de lecture, veuillez consulter l'article de blog en cliquant ici.

Il s'agit d'une campagne de minage de Monero par botnet assez générique qui infecte les machines victimes sur les serveurs SSH. Une fois qu'un serveur est compromis, un simple script Bash télécharge la charge utile du mineur de cryptomonnaies : un fichier compressé gzip. Son extraction entraîne la création d'un nouveau dossier .ssh, avec deux fichiers : le mineur exécutable (appelé sshd) et une configuration JSON. Au cours de sa durée de vie de six mois (à ce jour), cette campagne a rapporté à ses opérateurs quelque 1 200 $, comme observé dans l'espace HashVault. 

Les opérateurs semblent avoir utilisé un seul portefeuille pour agréger leurs Monero : 454Bkqa8C2GXCA3mFaPu1P6z3zwTqZjaRc1bB1gWVjkmBLJDcVbbE3VH6e3eKY78ihZYhFH63poLQ5Uvs65ukhV291DqCmk. Des attaques contre le réseau mondial de capteurs de Guardicore ont été lancées à partir de 6 IP différentes, basées aux États-Unis et en Allemagne. Le nombre d'incidents d'attaque est passé d'environ 20 par mois à plus de 100 en avril.

Nansh0u est une campagne basée en Chine qui visait à infecter les serveurs Windows MS-SQL et phpMyAdmin dans le monde entier. Les machines corrompues comprenaient plus de 50 000 serveurs appartenant à des entreprises des secteurs de la santé, des télécommunications, des médias et de l'informatique. Une fois compromis, les serveurs ciblés étaient infectés par des charges utiles malveillantes. Ceux-ci déposaient ensuite un mineur de cryptomonnaie et installaient un rootkit sophistiqué en mode noyau pour empêcher la fin du logiciel malveillant.

Cette campagne, contrairement à beaucoup d'autres, n'est pas un botnet de minage de cryptomonnaie. Ici, les pirates compromettent les machines victimes en utilisant la force brute MySQL, puis tentent de crypter la base de données. Une demande de rançon est laissée à l'intérieur d'une table appelée « WARNING », et indique :

« Pour récupérer votre base de données perdue et éviter toute divulgation : Envoyez-nous 0,06 Bitcoin (BTC) à notre adresse Bitcoin 1NdeFcTXpXvUxvWqPP988A4Txcv3LzXmif et contactez-nous par e-mail (recvr19@protonmail.com) avec l'adresse IP de votre serveur ou le nom de domaine et une preuve de paiement. Si vous estimez que nous ne sommes pas en possession de vos données, contactez-nous et nous vous enverrons une preuve. Votre base de données est téléchargée et sauvegardée sur nos serveurs. Si nous ne recevons pas votre paiement dans les 10 prochains jours, nous rendront votre base de données publique ou nous l'utiliserons autrement. »

Au moment de la rédaction de cet article, plus de 30 adresses de portefeuille Bitcoin ont été utilisées dans les demandes de rançon et leur solde est de 0,689 BTC, soit approximativement 6 250 $.

Le botnet Smominru et ses différentes variantes (Hexmen et Mykings) sont actifs depuis 2017. Cette attaque compromet les machines Windows, en utilisant une exploitation EternalBlue et la force brute sur divers services, y compris MS-SQL, RDP, Telnet et plus encore. Dans sa phase post-infection, elle dérobe les informations d'identification de la victime, installe un module de cheval de Troie ainsi qu'un mineur de cryptomonnaie et se propage à l'intérieur du réseau.

Uwush (ou « Stokers ») est un botnet semblable à Mirai. La violation initiale est effectuée sur un serveur SSH, puis un script bash nommé « UwUsh » est téléchargé et exécuté. Le script télécharge un logiciel malveillant UPX appelé « Stokers » conçu pour différentes architectures et les exécute tous, en espérant que l'un d'entre eux fonctionnera. Le logiciel malveillant possède diverses capacités, dont la plus importante est le DDoS sur UDP, HTTP et les différents types de paquets TCP. Le bot prend en charge les deux commandes « KILLDROPPERS » et « KILLBINS » pour éliminer les concurrents (ou peut-être les anciennes versions du logiciel malveillant). Les noms de logiciels malveillants vus dans les chaînes de Stokers sont Ayedz, DEMONS, Execution, Fierce, Josho, Okami, Owari, Tsunami, apep, chiemi, fortnite, gemini, hoho, kowa, kratos, miori, mips.yakuza, mirai, miraint, shiro, sora, yakuza, et z3hir. Chaque élément de la liste a des versions pour différentes architectures, comme c'est souvent le cas pour les botnets de type Mirai. Au moment de la rédaction du présent document, tous les incidents ont vu le téléchargement du script Uwush à partir d'une machine avec le préfixe 89.42.133.0/24.

Vollgar est une longue campagne d'attaque qui vise à infecter les machines Windows exécutant des serveurs MS-SQL. La campagne, qui remonte à mai 2018, obtient des mots de passe par la force brute pour corrompre les machines des victimes, déploie plusieurs portes dérobées et exécute de nombreux modules malveillants, tels que des RAT (outils d'accès à distance) multifonctionnels et des mineurs de cryptomonnaie.

Le 17 août 2017, de nombreux réseaux de diffusion de contenu (CDN) et fournisseurs de contenu ont subi de violentes attaques de la part d'un botnet baptisé WireX. Ce botnet tire son nom de l'anagramme d'une des chaînes séparatrices présente dans ses commandes et son protocole de contrôle. Le botnet WireX, conçu pour générer du trafic DDoS, inclut principalement des terminaux Android qui exécutent des applications malveillantes pour créer du trafic DDoS (déni de service distribué). Ce botnet est parfois associé à une demande de rançon envoyée à ses cibles.

Pour plus de lecture, veuillez consulter l'article de blog en cliquant ici.

Yart7 est une campagne DDoS visant les serveurs SSH. Ce botnet se propage par les serveurs SSH à l'aide de la force brute. Une fois la connexion établie, le pirate se connecte au serveur C&C et télécharge une charge utile malveillante nommée 7rtya, adaptée à l'architecture des ordinateurs des victimes. Une fois le logiciel malveillant exécuté, la machine compromise commence à envoyer des paquets DDoS à des dizaines de milliers d'adresses IP via le protocole Telnet (port TCP 23). Depuis le commencement de cette campagne début septembre 2020, seules trois adresses IP source ont été observées, dont deux sont basées en Autriche. Nous avons nommé cette campagne « Yart7 », un anagramme du nom de fichier du logiciel malveillant.

Ce flux d'attaques est connu depuis 2012. À son cœur, il s'agit d'un dropper (téléchargeur) de charges utiles supplémentaires, qui reçoit son URL en tant que paramètre. La brèche initiale est faite sur MySQL en utilisant la force brute. Une fois dans la base de données, le pirate crée une nouvelle table nommée yongger2 et y écrit la charge utile binaire du dropper. La charge utile est ensuite enregistrée dans un fichier appelé « cna12.dll » et exécutée. L'une des fonctions exportées du DLL, « xpdl3 », est utilisée pour supprimer des charges utiles supplémentaires et créer un utilisateur de porte dérobée appelé piress. Cette technique a déjà été largement décrite. Des publications récentes impliquent que le dropper a été utilisé pour livrer le ransomware GandCrab.

Pour plus de lecture, consultez les liens ci-dessous :

Réflexions sur les logiciels malveillants | Sophos