Un réseau botnet a été découvert la semaine dernière par des chercheurs en sécurité. Il passe par Tor ce qui le rend très difficile à détecter et utilise une version modifiée de Zeus pour lancer des attaques par DDoS, accumuler les Bitcoins et subtiliser des informations bancaires.

Des chercheurs de Rapid7 et de la Shadowserver Foundation ont détecté un botnet unique en son genre la semaine dernière en naviguant sur usenet. Le botnet appelé Skynet (rien à voir a priori avec le portail belge du même nom, il doit plutôt s'inspirer de Terminator) a pu opérer sans être repéré pendant plusieurs mois en passant par le logiciel Tor qui contourne la plupart des contrôles des antivirus. Le botmaster utilisait le protocole de services cachés de Tor pour dissimuler la communication des bots. Il infecte ses victimes sur usenet qui est devenu une mine à malwares comme d’autres services tels que eDonkey et Gnutella.

Les fonctionnalités du botnet

Le botmaster qui se vante de son botnet sur reddit explique que son botnet est capable de lancer des attaques par DDoS  mais juste pour rire :

« DDoS est seulement utile pour troller ».

Il peut envoyer des commandes spécifiques par les canaux IRC à son bot pour diriger des attaques par DDoS.

Il utilise une version personnalisée de Zeus dont le centre de commandes et de contrôle passe aussi par le protocole de service caché de Tor. Une fois les informations bancaires récupérées il les vend en ligne ce qui est bien moins risqué que de les exploiter soi-même.

En ce qui concerne le Bitcoin Mining, Skynet utilise CGMiner un mineur de bitcoin open-source qui supporte les GPU et les CPU. Il installe des procédures qui supervisent le système pour savoir si l’utilisateur utilise ou pas la machine : « Mon botnet mine seulement lorsque l’ordinateur est inutilisé plus de 2 minutes. La carte graphique ne fonctionne qu’à 60% pour qu’elle ne surchauffe pas ce qui provoque une rotation effrénée du ventilateur. »

Le botnet est toujours actif et montre qu’il est possible de mettre en place un botnet à coût nul et à la sécurité presque parfaite en passant par Tor.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI