Le botnet DDG ‘inarrêtable’ grâce à son architecture P2P

Le botnet d’extraction de monnaie digitale connu sous le nom de DDG a connu une vague importante d’activités depuis le début de l’année, avec 16 mises à jour différentes au cours des trois derniers mois. Plus particulièrement, ses opérateurs ont adopté un mécanisme peer-to-peer (P2P ou pair-à-pair) propriétaire qui a transformé DDG en une menace hautement sophistiquée, “apparemment innarêtable”, selon les chercheurs.

DDG a été signalé pour la première fois en janvier 2018 par Netlab 360, qui a ensuite mis fin aux opérations malveillantes du botnet. Netlab 360 a pu faire cela car DDG a utilisé des liaisons IP et DNS statiques pour ses communications de commande et de contrôle (C2), qui ont été facilement renversées. À ce moment-là, DDG n’avait infecté que 4391 serveurs publics pour exploiter la crypto-monnaie Monero, selon la firme, et ne semblait pas être une grande menace.

Un an plus tard, DDG était revenu en force, avec un total de 5 695 appareils réduits à l’état de bots en janvier 2019. Netlab 360 a déclaré que son analyse à l’époque montrait que les opérateurs avaient ajouté un mécanisme P2P basé sur Memberlist, principalement utilisé comme mesure de secours pour les communications C2.

Depuis lors, le botnet est en développement actif et constant, a expliqué Netlab 360, la plupart des itérations ne représentant que des changements incrémentiels. Puis, en février de cette année, les chercheurs de Netlab 360 ont vu DDG opérer ce que la société a appelé un «changement majeur», les opérateurs du botnet ont développé leur propre protocole P2P.

P2P propriétaire

Dans sa dernière version, le botnet DDG utilise toujours l’IP ou le DNS pour les communications statiques C2, mais son nouveau réseau P2P agit comme «une solution de secours [à sécurité intégrée] et même si le C2 est supprimé, les appareils infectés continueront de fonctionner et d’effectuer les tâches de minage », ont déclaré les analystes dans un blog.

En utilisant ce protocole, les opérateurs ont essentiellement construit un réseau redondant où chaque nœud communique avec 200 autres nœuds. Ces nœuds peuvent partager les dernières adresses C2, une liste d’autres nœuds avec lesquels communiquer, des instructions de tâche malveillantes (y compris des instructions pour supprimer les mineurs concurrents) et des informations de configuration. En outre, ils peuvent propager des composants malveillants entre eux selon les besoins.

“Les pairs ont un mécanisme de ping-pong unique”, selon les chercheurs. «Les pairs peuvent partager leurs propres données C2 et liste de pairs; les données de configuration des bots et de configuration des tâches peuvent être propagées entre pairs; [et] les pairs peuvent diffuser d’autres payloads ou composants, tels que des programmes d’exploration de données malveillants, [ou] des binaires Busybox compilés. »

ddg

L’architecture unique arbore également une fonction proxy qui peut être utilisée entre pairs, selon l’analyse.

“Lorsqu’un pair demande de télécharger le programme de minage ou un programme Busybox, si le DDG constate qu’il n’y a pas de fichier correspondant dans son répertoire de travail, il s’utilisera comme proxy et enverra aléatoirement la demande du fichier correspondant à d’autres pairs auxquels il s’est connecté avec succès », a expliqué le cabinet. “Si le téléchargement réussit, il sera retourné au pair demandant le téléchargement du fichier.”

Tout cela signifie que si les communications C2 sont interrompues, les nœuds peuvent continuer leurs opérations au sein de leur réseau autonome. C’est une architecture très sophistiquée, selon Netlab 360.

«Après plus de deux ans de développement, DDG est passé d’un simple cheval de Troie de minage à un simple réseau P2P utilisant une framework de protocole tiers, à un protocole P2P auto-développé», ont conclu les chercheurs. «Il est devenu un botnet P2P complexe – et c’est peut-être le premier botnet P2P de minage qui a vu le jour.»

botnet ddg

Il existe cependant d’autres types de botnets peer-to-peer (P2), tels que Roboto, Hajime et Joanap, qui se concentrent sur la réalisation d’attaques par déni de service distribuées. Les rares qui ont été observés dans la nature fonctionnent sans serveur C2, ce qui rend la tâche des chercheurs et des autorités plus difficile car il n’y a pas de domaines ou de serveurs centralisés à suivre.

DDG évolue doucement mais sûrement

En traquant le protocole spécifique, les chercheurs ont pu identifier 900 nœuds IP actifs dans le réseau P2P, chacun représentant plusieurs appareils ou robots infectés.

“Selon les statistiques fournies par nos partenaires, il y a 17 590 robots actifs en Chine continentale”, selon la firme. “Selon nos données de suivi, le nombre de bots en Chine continentale représente environ 86% du total, donc on peut en déduire que DDG possède actuellement environ 20 000 bots dans le monde.”

Ce n’est pas énorme par rapport aux autres botnet (le botnet Necurs avait 9 millions de bots au moment de sa saisie), mais DDG est probablement très efficace, a déclaré la firme. “Nous pouvons dire que ce botnet fait de très bons bénéfices, l’auteur est probablement assez satisfait des appareils déjà compromis qu’il possède, et il veut rester discret, et n’est pas pressé d’élargir son armée de bots.”

Il est intéressant de noter que DDG a un vecteur d’attaque précis, choisissant de cibler exclusivement les serveurs sur les intranets d’entreprise – en particulier, il cible les serveurs qui ont des mots de passe SSH faibles. Il a une liste de 17 907 mots de passe qu’il essaie sur ses cibles, selon les chercheurs de Netlab 360.

«[Nous espérons] que davantage de chercheurs en sécurité pourront l’examiner attentivement et, espérons-le, ralentir le botnet DDG apparemment imparable», ont-ils ajouté.