Ce botnet Linux exploite Log4j et communique par DNS Tunneling

Un nouveau botnet cible les systèmes Linux afin de les compromettre et de les intégrer à une armée de bots prêts à faire de nouvelles victimes et à dérober des données !

Nommé B1txor20 par les chercheurs de l'éditeur Qihoo 360 (Netlab 360), cette nouvelle souche malveillante attaque les machines sous Linux, aussi bien sur une architecture x64 qu'ARM. Les chercheurs l'ont capturé la première fois le 9 février dernier, par l'intermédiaire d'un serveur pot de miel (honeypot). Au total, ils ont capturé quatre échantillons avec différentes fonctions (porte dérobée, vol de données, exécution de code arbitraire, ou encore installation de rootkit). En complément, d'autres fonctions seraient inactives pour le moment et toujours en cours de développement.

Pour infecter de nouvelles machines, le botnet utilise des exploits ciblant une vulnérabilité bien connue puisqu'il s'agit de la faille Log4J. Cette faille reste très intéressante puisqu'elles touchent énormément de fournisseurs et de solutions différentes, la bibliothèque de journalisation Apache Log4j étant populaire. Même si de nombreux systèmes sont probablement patchés, il reste forcément des hôtes vulnérables.

Le malware B1txor20 utilise de la tunnellisation DNS (DNS Tunneling) pour créer un canal de communication avec le serveur C2 (command & control). Même s'il s'agit d'une technique ancienne, elle reste fiable et efficace afin de permettre aux pirates d'exploiter le protocole DNS pour transférer les données au sein de requêtes DNS.

Autrement dit, et comme l'explique les chercheurs en sécurité : "le bot envoie les informations volées, les résultats d'exécution des commandes et toute autre information devant être exfiltrés, au serveur C2 sous la forme d'une requête DNS, après avoir caché ces informations à l'aide de techniques d'encodage spécifiques".

Source : Netlab 360

Même si la vulnérabilité Log4j a été découverte il y a plusieurs mois et que les éditeurs ont pu la corriger dans leurs différents outils, ce botnet est la preuve qu'elle reste un vecteur d'attaque important pour les pirates ! Ce n'est pas pour rien si l'ANSSI l'a inclus dans son Top 10 des vulnérabilités de l'année 2021.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3767 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.