Fin avril, des chercheurs en sécurité de l'information de Bitdefender LABS ont
découvert une nouvelle version du botnet Hide and Seek (HNS), qui est devenue
connue début 2018. Il utilise un protocole P2P personnalisé et est le premier botnet à «survivre» même après le redémarrage de l'appareil sur lequel il est fixé.
Nous vous expliquerons comment HNS procède ainsi et comment en protéger les appareils IoT.
/ Flickr / chris yiu / ccLe botnet «
joue à cache-cache» avec des experts en sécurité depuis le 10 janvier: à cette époque, le réseau Hide and Seek ne comprenait que 12 appareils. La plupart d'entre elles étaient des caméras IP fabriquées par la société coréenne Focus H&S, et leurs adresses IP étaient explicitement écrites dans le code.
Après le botnet, il s'est «caché» et ne s'est retrouvé que le 20 janvier, mais il comprenait déjà 14 000 appareils infectés. Après quoi, le botnet a continué sa distribution active et a
réussi à infecter environ 90 000 appareils uniques. Et donc, en avril, sa nouvelle version est apparue.
Comment fonctionne un botnet?
La nouvelle version du botnet contient un certain nombre d'améliorations dans les mécanismes de distribution. Par exemple, il a appris à exploiter deux autres vulnérabilités des caméras IP (plus de détails
ici et
ici ), ce qui a permis d'augmenter les droits d'accès au système et de prendre le contrôle de l'appareil. De plus, HNS peut détecter deux nouveaux types de périphériques et y accéder par des connexions et des mots de passe par force brute (en utilisant la liste de mots de passe définie par défaut).
Le mécanisme de propagation HNS
ressemble à la façon dont les vers de réseau se «multiplient». Tout d'abord, le bot génère une liste d'adresses IP aléatoires pour sélectionner les victimes. Il envoie ensuite une demande SYN à chaque hôte et poursuit la «communication» avec ceux qui ont répondu à la demande sur les ports 23 2323, 80 et 8080. Une fois la connexion établie, le malware recherche le message «buildroot login» et essaie de se connecter en utilisant des informations d'identification prédéfinies. En cas d'échec, HNS applique une correspondance de
dictionnaire sur la liste codée en dur.
Après la connexion, le botnet détermine le périphérique cible et sélectionne la méthode de compromis appropriée. Par exemple, si le bot se trouve sur le même réseau LAN que la victime, il configure le serveur TFTP, permettant à la cible de télécharger directement l'exemple de malware. Si la victime est «localisée» sur Internet, le botnet essaiera différentes méthodes de livraison à distance du «paquet malveillant». Tous les exploits sont préconfigurés et stockés dans un emplacement de mémoire signé numériquement pour empêcher tout accès non autorisé. La liste des méthodes peut être mise à jour à distance et répartie entre les hôtes infectés.
Les chercheurs en sécurité de l'information ont
découvert que le botnet a dix binaires compilés pour différentes plates-formes: x86, x64, ARM (Little Endian et Big Endian), SuperH, PPC et autres.
Et afin de prendre pied de manière fiable dans le système, après une infection réussie du périphérique cible, le bot se copie dans /etc/init.d/ et active la fonction de chargement automatique avec le démarrage du système d'exploitation (l'interaction avec la victime se produit via Telnet, car root est requis pour copier les binaires dans le répertoire init.d -Droit). HNS ouvre ensuite un port UDP aléatoire dont les cybercriminels auront besoin pour contacter l'appareil.
/ Flickr / pascal / PDAutres grands botnets
L'un des robots IoT les plus célèbres peut être appelé
Mirai . Comme HNS, ce botnet recherchait des appareils IoT avec des ports Telnet ouverts. Les auteurs de Mirai, les fans de Minecraft et d'anime (Mirai en japonais
signifie «futur», en l'honneur
du manga «Journal du futur»), ont mené en 2016 plusieurs attaques DDoS puissantes contre des sites Web, des serveurs de fournisseurs (en
septembre et
octobre ) et
infecté environ 300 mille appareils IoT (vous trouverez ici une analyse détaillée du code source de Mirai).
Un autre cas bien connu est Hajime (traduit du japonais signifie «début»). Ce botnet a capturé 300 000 appareils IoT à l'aide d'attaques par force brute. Les attaques Hajime ont principalement ciblé les enregistreurs vidéo numériques, les webcams et les routeurs. Selon une
étude de Kaspersky Lab, le botnet a principalement infecté des appareils du Vietnam (20%), de Taiwan (13%) et du Brésil (9%). Dans le même temps, Hajime a évité «consciemment» les réseaux privés (y compris ceux du département américain de la Défense, Hewlett-Packard, General Electric et autres).
Comment se protéger
Selon
des représentants de Bitdefender, le botnet HNS est toujours à un "stade de croissance". Ses opérateurs tentent de capturer autant d'appareils que possible. Par conséquent, les attaques avec sa participation n'ont pas encore été menées. Mais il est possible que des pirates ajoutent bientôt des «équipes de combat» aux fichiers binaires.
Pour protéger les appareils IoT contre les attaques HNS et les botnets en général, les experts en sécurité de Trend Micro
recommandent de suivre ces étapes simples et assez courantes:
- Changez le mot de passe par défaut de l'appareil IoT en un mot de passe plus complexe (tout est comme d'habitude: au moins 15 caractères, une casse différente, plus des chiffres et des signes)
- Installer régulièrement des mises à jour, notamment celles liées à la sécurité;
- Utilisez des solutions logicielles pour protéger le réseau, le chiffrement du trafic, etc.
Ces méthodes simples vous permettront de vous protéger contre de nombreux programmes malveillants qui «recrutent» l'Internet des objets dans leurs rangs.
Une sélection de matériaux de notre blog d'entreprise: