Le botnet ZHtrap déploie des honeypots pour trouver plus de cibles

0

Un nouveau botnet nommé ZHtrap traque et transforme les routeurs infectés, les DVR et les périphériques réseau UPnP en honeypots(pots de miel) qui l’aident à trouver d’autres cibles à infecter.

Le malware, surnommé ZHtrap par les chercheurs en sécurité de 360 Netlab qui l’ont repéré, est vaguement basé sur le code source de Mirai, et il est livré avec un support pour x86, ARM, MIPS, et d’autres architectures CPU.

Prend le contrôle d’appareils infectés

Une fois qu’il prend le contrôle d’un appareil, il empêche d’autres logiciels malveillants de ré-infecter ses bots à l’aide d’une liste blanche qui ne permet que des processus système déjà en cours d’exécution, bloquant toutes les tentatives d’exécuter de nouvelles commandes.

Les bots ZHtrap utilisent un serveur de commande et de contrôle Tor pour communiquer avec d’autres nœuds botnet et un proxy Tor pour dissimuler le trafic malveillant.

Les principales capacités du botnet incluent les attaques DDoS et la numérisation des appareils les plus vulnérables à infecter. Cependant, il est également livré avec des fonctionnalités de porte dérobée permettant aux opérateurs de télécharger et d’exécuter des charges utiles malveillantes supplémentaires.

Pour se propager, ZHtrap utilise des exploits ciblant quatre vulnérabilités de sécurité N-day dans les points de terminaison Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000, et une longue liste d’appareils CCTV-DVR.

Il scanne également les appareils avec des mots de passe Telnet faibles à partir d’une liste d’adresses IP générées au hasard et collectées à l’aide du pot de miel qu’il déploie sur des appareils déjà pris au piège dans le botnet.

zhtrap

Des bots utilisés en tant que honeypots

La caractéristique la plus intéressante de ZHtrap est la façon dont il transforme les appareils infectés en honeypots (pots de miel) pour recueillir des adresses IP de plus de cibles vulnérables à ses méthodes de propagation ou déjà infectés par d’autres logiciels malveillants.

Une fois déployé, le pot de miel de ZHtrap commence à écouter une liste de 23 ports, et il envoie toutes les adresses IP qui se connectent à eux à son module de numérisation comme cibles potentielles dans ses attaques.

« Par rapport à d’autres réseaux de zombies que nous avons analysés avant, la partie la plus intéressante de ZHtrap est sa capacité à transformer les dispositifs infectés en pots de miel », a déclaré 360 Netlab.

« Les pots de miel sont habituellement utilisés par les chercheurs en sécurité comme outil pour capturer des attaques, comme la collecte d’analyses, d’exploits et d’échantillons.

« Mais cette fois-ci, nous avons constaté que ZHtrap utilise une technique similaire en intégrant un module de collecte IP à balayage, et que les ADRESSEs IP collectées sont utilisées comme cibles dans son propre module de numérisation. »

Les chercheurs de 360 Netlab ont également récemment repéré une version améliorée du botnet de crypto-minage z0Miner, qui tente maintenant d’infecter les serveurs vulnérables Jenkins et ElasticSearch pour miner de la crypto-monnaie Monero (XMR).

Laisser un commentaire

Votre adresse email ne sera pas publiée.