Le nouveau botnet HEH inclut une fonction de “wiper”

Un botnet fraîchement découvert surnommé HEH par les chercheurs essaye d’infecter tous les périphériques qui utilisent Telnet sur les ports 23/2323. Il est particulièrement destructeur: il contient du code qui efface toutes les données des systèmes infectés.

Les opérateurs de HEH semblent aussi avoir un penchant pour le plaidoyer civil, un chargement de la Déclaration universelle des droits de l’homme, visible par les chercheurs lors de l’analyse, accompagne chaque infection.

Selon l’analyse de 360Netlab, des échantillons d’HEH sont découvert sur un large éventail d’architectures de processeur, y compris x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) et PPC – ce qui signifie qu’il infecte ordinateurs de bureau, ordinateurs portables, appareils mobiles et IoT (Internet des objets). Il recherche des informations d’identification Telnet par force brute, et une fois entré, il infecte la cible avec un binaire en langage Go qui communique avec d’autres nœuds de bots à l’aide d’un protocole peer-to-peer propriétaire, ont déclaré les chercheurs.

necurs

Craig Young, chercheur en sécurité informatique pour l’équipe de recherche sur la vulnérabilité et l’exposition de Tripwire (VERT), a noté que l’utilisation de Golang est une tendance constante dans le développement de logiciels malveillants.

«Golang ne cesse de gagner en popularité, y compris parmi les auteurs de logiciels malveillants IoT», a-t-il déclaré. «Go offre un ensemble de fonctionnalités puissantes avec la possibilité de produire facilement des exécutables autonomes dans les architectures les plus courantes. Cela marque un changement par rapport aux logiciels malveillants IoT comme Mirai, qui utilisent C pour produire des binaires très compacts par rapport à un exécutable Go. »

D’un point de vue technique, le botnet HEH, qui tire son nom du phrasé à l’intérieur des exemples de code, contient trois modules fonctionnels, selon 360Netlab: un module de propagation, un module de service HTTP local et le module P2P.

Routine d’infection d’HEH

Une fois qu’un périphérique a été forcé brutalement (son dictionnaire inclut 171 noms d’utilisateur et 504 mots de passe), un script shell malveillant nommé wpqnbw.txt est exécuté sur l’hôte, selon l’analyse. Ce module de propagation est un chargeur initial, qui continue de télécharger et d’exécuter plusieurs versions des binaires de deuxième étape – un pour chaque type de périphérique possible.

Les scripts malveillants et les programmes binaires sont extraits d’un site pomf.cat légitime, qui a été compromis, ont expliqué les chercheurs.

«[Il y a des téléchargements pour] chacun des programmes malveillants, pour toutes les architectures de CPU différentes, il n’y a pas de vérification d’environnement ou des choses comme ça, [il] exécute simplement tous les programmes à tour de rôle», ont expliqué les chercheurs de 360Netlab, dans une publication la semaine dernière.

Une fois que la version correcte du code pour l’architecture du processeur est déterminée, l’échantillon est démarré. Il démarre d’abord un serveur HTTP sur le port local: 80, selon les chercheurs, c’est là que l’angle des droits de l’homme entre en jeu.

«L’état initial de ce serveur HTTP sera défini :80/0 à :80/9 un total de 10 URI», selon l’article. «En conséquence, la Déclaration universelle des droits de l’homme en huit langues – et deux contenus vides – sont affichés. Par exemple, le :80/0 renvoie la version chinoise de la Déclaration universelle des droits de l’homme. »

Après cela, l’échantillon extrait les données du module P2P sur le port, ce qui écrase la déclaration. C’est là que le botnet HEH se met au travail.

Le module P2P du botnet HEH

Dans un botnet P2P, chaque nœud (également appelé «pair») a la capacité de parler à d’autres pairs par ce que l’on appelle un mécanisme de ping-pong. Grâce à cela, les pairs partagent leurs propres fonctions de commande et de contrôle de manière distribuée, tiennent leurs propres listes d’autres pairs et peuvent distribuer entre eux d’autres charges utiles ou composants.

Dans le cas de HEH, le module P2P lui-même contient trois composants, en commençant par celui qui pings pour tous les autres nœuds (pairs) dans le botnet à 0,1 seconde d’intervalle (via un port de service UDP) et attend un retour de pong et un composant qui met à jour le nœud avec les dernières adresses.

Sur ce dernier front, ce composant de mise à jour de pair reçoit des commandes toutes les 10 secondes contenant de nouvelles adresses de pair, le nœud vérifie si sa liste contient déjà les informations d’adresse, et sinon, l’ajoute à sa liste d’homologues.

Le troisième composant de HEH, un composant de service UDP, fait l’essentiel du travail, ont expliqué les chercheurs: il surveille les données ou les instructions envoyées par d’autres pairs, analyse les instructions et effectue les opérations correspondantes.

«Ce composant a deux fonctions clés: la génération de numéro de port de service UDP et l’analyse des commandes», selon 360Netlab.

Pour le premier, «le port de service UDP du botnet HEH n’est pas fixe, ni généré aléatoirement, mais est calculé en se basant sur la propre adresse IP du réseau public du pair», a expliqué la société. “Chaque fois que le bot HEH reçoit l’adresse IP d’un nouvel homologue, il calcule le port UDP de l’homologue en fonction de l’algorithme et intègre ces informations dans sa liste d’homologues.”

Pendant ce temps, les instructions que le bot HEH peut analyser proviennent d’un serveur de commande et de contrôle (C2), ce qui signifie que le botnet n’est pas encore une véritable architecture P2P.

«La mise en œuvre du P2P présente encore des défauts», ont déclaré les chercheurs. «Le bot maintient une liste de pairs en interne et il y a une communication Ping <–> Pong en cours entre les pairs, mais l’ensemble du botnet est toujours considéré comme centralisé, car actuellement le nœud du bot ne peut pas envoyer de commandes de contrôle.»

Commandes et autodestruction

Les commandes que les pairs peuvent analyser sont divisées en deux catégories: les instructions fonctionnelles liées au protocole P2P, qui maintiennent essentiellement le nœud à jour et en permanence connecté à d’autres pairs et un module chargé des instructions de contrôle («Bot Cmd»).

La liste Bot Cmd prise en charge par le bot HEH comprend des commandes pour redémarrer ou quitter, exécuter des commandes shell, mettre à jour la liste des pairs, mettre à jour le malware lui-même et, surtout, quelque chose appelé «SelfDestruct», qui est la fonction “wiper”.

SelfDestruct, qui est la commande n°8, demandera au bot de tout effacer sur tous les disques de l’hôte. Des wipers comme celui-ci ciblent généralement les infrastructures critiques et autres cibles des États-nations, ce qui rend cet aspect de HEH encore plus intéressant.

heh

Deux autres commandes, «launch attacks» et «Mics», sont répertoriées mais non implémentées dans les échantillons analysés par 360Netlab, ce qui signifie potentiellement que le botnet est encore en phase de développement. Cela ne veut pas dire que cela ne constitue pas une menace.

«Le mécanisme de fonctionnement de ce botnet n’est pas encore mature», ont noté les chercheurs. «Cela étant dit, la nouvelle structure P2P en développement, la prise en charge de l’architecture de processeurs multiples, la fonction d’autodestruction intégrée, rendent ce botnet potentiellement dangereux.

On ne sait pas combien d’appareils composent le botnet, ou si les opérateurs ont encore déjà sur le bouton d’autodestruction sur l’un d’entre eux.

Les utilisateurs peuvent se protéger en s’assurant que les ports Telnet 23/2323 ne sont pas exposés et en utilisant des mots de passe forts sur leurs appareils.

Les botnets P2P à la hausse

Les architectures P2P sont attrayantes pour les botnets car elles introduisent la redondance et la décentralisation, ce qui les rend difficiles à démanteler. De plus, une seule communication vers un seul nœud suffit pour propager une nouvelle commande ou une nouvelle fonctionnalité, offrant aux opérateurs plus de possibilités de furtivité en ce qui concerne leur infrastructure de contrôle.

L’utilisation des botnets P2P augmentent. Par exemple, le botnet de minage de crypto-monnaie connu sous le nom de DDG a par exemple adopté un mécanisme peer-to-peer (P2P) propriétaire en Avril qui a transformé le DDG en une menace très sophistiquée et «apparemment imparable», selon les chercheurs.

Pendant ce temps, en Septembre, le botnet Mozi, un malware P2P connu auparavant pour avoir pris le contrôle des routeurs Netgear, D-Link et Huawei, a augmenté de taille pour représenter 90% du trafic observé circulant vers et depuis tous les appareils IoT, selon les chercheurs.

Et en Octobre, une nouvelle variante du botnet P2P InterPlanetary Storm est apparue, cette variante contient de nouvelles tactiques de détection-évasion et cible désormais les appareils Mac et Android (en plus de Windows et Linux, qui étaient ciblés par les variantes précédentes du malware).

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x