Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Un Botnet utilisant le réseau d’anonymisation et les services cachés de Tor

Par Rédaction, secuobs.com
Le 17/12/2012


Résumé : En activité depuis au moins un an et demi, un Botnet vient d’être découvert récemment par Rapid7 et présente la caractéristique d’utiliser aussi bien le réseau d’anonymisation que les fonctionnalités de services cachés qui sont offertes par la solution Open Source TOR.



Des chercheurs de Rapid7 ont récemment découvert un code malicieux de type Botnet présentant la caractéristique d’utiliser pleinement le réseau d’anonymisation qui se base sur la solution Open Source Tor. Ce Botnet semblant se dédier tout particulièrement aux fraudes bancaires, mais également aux Dénis de Services Distribués (DDoS) et au Bitcoin-mining.

Ce code étant diffusé sous la forme d’une archive de quinze méga-octets à travers les forums Usenet souvent appréciés pour la distribution de contenus piratés. L’archive consistant quant à elle en un Bot Zeus, l’outil CGMiner pour le « minage » Bitcoins, un client Tor pour Microsoft Windows et les fichiers DLL utilisés par CGMiner pour le craquage des valeurs de hachage via CPU/GPU.

Outres les options classiques caractérisant ce type de codes malicieux, il semblerait par ailleurs que ce Botnet n’utilse pas la solution Tor uniquement pour ses fonctionnalités d’anonymisation réseau, mais également pour celles qui permettent de faire fonctionner des services cachés et ce afin d’héberger les serveurs de commande et de contrôle.

De ce fait, la mise hors service de ces serveurs s’en retrouve d’autant complexifier pour les chercheurs en sécurité. D’autant que ces services cachés de Tor ne sont pas accessibles directement par l’intermédiaire des adresses IP publiques, ils peuvent donc être hébergés sur des hôtes infectés qui se trouvent derrière des solutions de filtrage ou de la translation réseau NAT.

Depuis au moins un an et demi, l’opérateur peut donc discrètement migrer d’un serveur de commande et de contrôle à un autre. Ajoutez à cela que le trafic du Botnet est entièrement chiffré et donc plus difficile à détecter, en atteste que seul sept des quarante deux solutions antivirales de VirusTotal sont actuellement en mesure de détecter ce code comme malicieux.

Source :

« Researchers uncover Tor-powered Skynet botnet » sur Help Net Security News ( lien )