[BOTNET] Un nouveau botnet IoT baptisé Hide’N Seek utilise des techniques d’attaques très avancées

    Un nouveau botnet baptisé Hide‘N Seek, a été intercepté par le système d’honeypots de Bitdefender suite à une attaque par bruteforce via le service Telnet. Le bot a été détecté pour la première fois le 10 janvier 2018, puis a disparu quelques jours après, avant de réapparaitre le 20 janvier 2018 sous une forme nettement plus améliorée. Le botnet intègre un mécanisme d’auto-réplication qui génère de manière aléatoire une liste d’adresses IP pour obtenir des cibles potentielles.

Il initie ensuite une connexion raw socket avec flag SYN avec chaque hôte de la liste et continue à communiquer avec ceux ayant répondu à la requête sur des ports de destination spécifiques (23 2323, 80, 8080). Une fois la connexion établie, le botnet recherche si une bannière spécifique (« buildroot login: ») est présente chez la victime. Une fois qu’une session est établie avec une nouvelle victime, l’échantillon exécute un automate pour identifier correctement l’appareil ciblé et sélectionne la méthode de compromission la plus adaptée.

Il s’agit du second botnet connu à ce jour, après le célèbre botnet Hajime, qui utilisait lui aussi une architecture peer-to-peer décentralisée.  Si les botnets IoT existent depuis maintenant des années, principalement utilisés pour les attaques DDoS, les découvertes de l’analyse du botnet Hide’N Seek révèlent un niveau supérieur de complexité et de nouvelles capacités comme le vol d’information potentiellement adapté à l’espionnage et à l’extorsion. Comme d’autres botnet, Hide’N Seek n’est pas persistant, et un simple redémarrage permet de nettoyer les appareils infectés.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.