Le nouveau botnet Kaiji cible les appareils Linux

Un nouveau botnet nommé Kaiji infecte les appareils IoT et les serveurs Linux pour les exploiter ensuite dans des attaques de déni de service distribué (DDoS). Le malware Kaiji a été créé à partir de zéro, ce que les chercheurs décrivent comme étant «rare dans le monde des botnet IoT».

Kaiji, découvert fin avril par le chercheur en sécurité «MalwareMustDie» et les chercheurs d’Intezer, est unique dans son outillage personnalisé, créé avec le langage de programmation Golang. Les types précédents de logiciels malveillants IoT ont principalement dérivé leurs outils des précédents botnets (y compris plusieurs botnets qui sont des variantes de Mirai) et sont généralement écrits dans les langages de programmation C ou C ++.

«Golang est un langage plus facile à programmer que C et permet aux développeurs de créer plus de code beaucoup plus facilement qu’avec C», a déclaré Paul Litvak, chercheur en sécurité chez Intezer. “Parfois, il est plus facile de créer un outil à partir de zéro que d’en modifier un existant. Le développeur de logiciels malveillants s’est probablement senti plus à l’aise avec le code qu’il a lui-même écrit plutôt que de s’appuyer sur des éléments existants. »

Plutôt que de s’appuyer sur l’exploitation de failles non corrigées, Kaiji se propage exclusivement par des attaques de force brute contre des serveurs SSH accessibles au public qui permettent une authentification SSH par mot de passe, a déclaré Litvak, dans une analyse.

botnet ddg

Seul le compte «root» est ciblé, selon les chercheurs: «L’accès au root est important pour son fonctionnement car certaines attaques DDoS ne sont disponibles que via la création de paquets réseau personnalisés. Sous Linux, les paquets réseau personnalisés ne sont donnés qu’à un utilisateur privilégié avec des permissions root. »

Une fois la connexion SSH établie, un répertoire /usr/bin/lib est créé, puis Kaiji est installé sous le nom de fichier «netstat», «ps», «ls» ou un autre nom d’outil système.

Kaiji a des fonctionnalités relativement simples, et en fait, Litvak a déclaré qu’il pensait que le malware était toujours en cours de test, en raison de l’une de ses fonctions faisant référence à l’outil en tant que «démo». Les fonctionnalités du logiciel malveillant incluent divers modules d’attaque DDoS, un module de forçage brutal de SSH pour continuer sa propagation et un autre spreader SSH qui détourne les clés SSH locales pour infecter les hôtes connus auxquels le serveur s’est connecté par le passé.

Une fois le malware exécuté, il se copie dans /tmp/seeintlog et lance diverses opérations malveillantes, notamment le déchiffrage des adresses de commande et de contrôle (C2) et l’enregistrement du serveur nouvellement infecté sur l’un des serveurs de commandes.

Enfin, le botnet récupère les commandes du serveur C2 avec des instructions pour des attaques DDoS spécifiques. Le botnet utilise une variété d’attaques, notamment des capacités d’attaque flood TCP, UDP, SYN et ACK, ainsi que des capacités d’usurpation d’adresse IP.

botnet kaiji

Ces types d’attaques sont courants pour les botnets. Les attaques de déni de service par inondation UDP, par exemple, submergent des ports aléatoires sur l’hôte cible avec des paquets IP contenant des datagrammes UDP (User Datagram Protocol) et les attaques DDoS TCP SYN exploitent une partie du handshake TCP pour consommer des ressources sur le serveur cible et le rendre inaccessible.

Les chercheurs pensent que le botnet a «des origines chinoises», car certaines fonctions sont nommées dans une représentation anglaise de mots chinois.

Kaiji en bonne compagnie

Kaiji n’est pas le seul botnet à avoir fait du bruit récemment, on se souvient notamment de Dark_Nexus, MootBot et du botnet DDG. Contrairement à ces réseaux de zombies découverts précédemment, Kaiji a créé ses propres outils personnalisés avec Golang plutôt que d’utiliser des morceaux de codes populaires – ce qui, selon les chercheurs, est une tendance croissante pour les développeurs de logiciels malveillants.

«Il est rare de voir un botnet écrit à partir de zéro, compte tenu des outils facilement disponibles pour les pirates dans les forums du marché noir et les projets open source», ont déclaré des chercheurs d’Intezer. «Nous avons découvert une nouvelle opération DDoS à ses débuts qui a été écrite à partir de zéro. Ceci est une autre confirmation que les développeurs de logiciels malveillants se tournent vers des langages modernes tels que Golang pour leurs opérations. “

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x