Botnet bête: Comment faire pour tuer le dragon DDoS
Les Botnets et les attaques DDoS continuer à croître à l’échelle. S’attaquer à ces problèmes n’est pas tâche facile.
Une nouvelle campagne de malwares visant les machines Windows dispose d’une nouvelle technique de contrôle de l’résultant botnet, avec le groupe de cacher leurs communications à l’aide d’un réseau P2P.
Surnommé IPStorm – court pour Interplanétaire Tempête par son cyber-criminel opérateurs, la campagne a été découvert en Mai. Il est possible que l’auteur a pris l’inspiration pour le nom de la Tempête – un P2P ver de la campagne, qui est devenu célèbre après sa première apparition en 2007. On ne sait pas qui est l’auteur de IPStorm est ou où ils se trouvent, mais le malware a un “reverse shell” fonctionnalité qui peut permettre à des pirates d’exécuter n’importe quel code PowerShell sur la machine infectée.
Ce qui est intéressant sur les logiciels malveillants, selon des chercheurs de la cyber-sécurité de l’entreprise Anomali, c’est que c’est la première logiciels malveillants trouvés dans la nature qui est à l’aide d’erreurs de page non valide’ réseau p2p pour le commandement et le contrôle de la communication. Par légitimes en utilisant un réseau p2p, le logiciel malveillant peut cacher son trafic réseau entre légitime p2p le trafic réseau.
Le CIP est un open source P2P de partage de fichiers en réseau, qui a pour objectif d’agir comme un moyen de partage et de stockage de fichiers, avec les utilisateurs de télécharger et d’hébergement de contenu dans un système décentralisé. Des exemples de son application sont utilisés pour héberger une version de Wikipédia, qui peut être consulté dans les pays où l’accès est bloqué.
VOIR: UNE stratégie gagnante pour la cybersécurité (ZDNet rapport spécial) | Télécharger le rapport au format PDF (TechRepublic)
Écrit dans la langage de programmation, il est encore incertain comment IPStorm commence ses premières infections, mais la taille de l’malware paquet signifie que le code est divisé en plusieurs parties. Cela indique que les attaquants sont bien versé dans le développement logiciel, parce que cela rend les logiciels malveillants les plus simples à gérer et à mettre à jour.
“Par la rupture de la fonctionnalité dans les différents Aller paquets de la base de code est plus facile à maintenir. Aussi, la menace de l’acteur peut évasion choses en modules pour faciliter l’échange ou la réutilisation de fonctionnalités,” Joakim Kennedy, menace directeur du Renseignement à la Anomali Menace de l’Équipe de Recherche dit ZDNet.
IPStorm vient également de construire avec plusieurs antivirus techniques d’évasion, comme le sommeil et les allocations de mémoire de rester non détecté après il a trouvé son chemin sur un système Windows et de lui-même installé à l’intérieur d’un dossier à partir d’une liste préétablie, avec la plupart des faux dossiers relatifs à Microsoft ou Adobe systems. L’idée est que même si un utilisateur voit le dossier, ils ne pense pas que beaucoup de celui-ci.
L’exécutable est stocké à l’intérieur de ce dossier et prend aussi un nom choisi au hasard le nom d’une liste préétablie. Les attaquants semblent être de faire un effort pour s’assurer que IPStorm est difficile à découvrir sur les machines infectées.
Actuellement, le but ultime de cette campagne reste encore inconnu, mais il pourrait être utilisé pour toutes sortes d’activités malveillantes.
“Les réseaux de zombies sont généralement utilisés pour DDoS, servant de support à des chevaux de troie, ou de construction de réseau de proxy. Le bot permet à l’auteur de menace à exécuter n’importe quel code PowerShell de leur choix. Le botnet est constamment mis à jour, de nouvelles fonctionnalités peuvent être ajoutées à tout moment,” dit Kennedy.
Dans l’analyse des logiciels malveillants, les chercheurs notent que, bien que IPStorm ne cible que les systèmes Windows pour l’instant, les métadonnées dans les échantillons de logiciels malveillants suggère les attaquants sont potentiellement dans le processus de compilation à infecter d’autres systèmes d’exploitation.
Anomali estime qu’à partir du mois de juin 2019, le botnet est composée d’un peu moins de 3 000 machines – bien que sa taille relativement petite est probablement de la façon dont IPStorm est encore qu’aux premiers stades de son évolution.
Cependant, au moment de la Interplanétaire Tempête de recherche en cours de publication, les chercheurs disent que la moitié seulement des moteurs sur VirusTotal drapeau comme quelque chose de malveillant à – dire qu’à ce moment il pourrait se répandre relativement inaperçue si le botnet se développe. Kennedy a dit ZDNet il existe un moyen simple pour éviter de tomber victime de cette campagne.
“Si des erreurs de page n’est pas utilisé par quoi que ce soit sur votre réseau, l’amorçage de l’IPs peut être bloqué afin d’éviter d’éventuels bots de se connecter au réseau de zombies,” dit-il.
Anomali a publié les Indicateurs de Compromis pour IPStorm dans leur analyse des logiciels malveillants.
LIRE PLUS SUR LA CYBER-CRIMINALITÉ
Ce nouveau malware est la numérisation de l’internet pour les systèmes d’info sur les objets de valeur, Comment les éviter botnet attaques et autres cybermenaces: 4 conseils [TechRepublic]les logiciels Malveillants et les botnets: Pourquoi Emotet domine la menace malveillants paysage en 2019,Nous ne pouvons pas arrêter botnet attaques seul, NOUS dit-rapport du gouvernement [CNET]Cette étrange nouvelle IoT botnet se propage rapidement via peer-to-peer communication
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données