KELIHOS UTILISE LES LISTES NOIRES CBL POUR EVALUER LES NOUVEAUX BOTS

Kelihos est ce botnet P2P qui n’en finit pas de se réincarner avec de nouvelles capacités qui lui permettent de se maintenir et de générer un revenu pour ses propriétaires en diffusant du courrier indésirable, en récoltant des informations d’identification et même en volant des bitcoins.

D’après plusieurs sources, Kelihos exploite désormais des services de sécurité légitimes et gratuits de gestion de listes CBL (Composit Blocking List) afin de confirmer si l’adresse IP d’une victime potentielle a déjà été signalée comme source de courrier indésirable ou proxy. Une liste CBL est une liste noire d’adresses IP dont l’implication dans la diffusion de courrier indésirable ou de programmes malveillants est confirmée.

« En ce qui me concerne, je n’ai jamais été témoin de l’utilisation d’une liste CBL, mais ce n’est pas un phénomène inconnu avec d’autres programmes malveillants. Il existe de nombreux chevaux de Troie ou virus qui enverront des commandes ping vers des services légitimes afin d’obtenir de plus amples informations sur une victime » explique Chris Mannon, chercheur en sécurité chez Zscaler.

Vu que les chercheurs en sécurité partagent souvent les données de ce genre, l’auteur d’une attaque sait que si une adresse IP passe avec un service, elle passera certainement avec la majorité des autres.

« L’auteur de l’attaque pourra voir si la victime est connue de la communauté de sécurité. Nous partageons tout. C’est la raison d’être de ces services. Je peux vérifier n’importe quelle adresse pour voir si elle est bonne. Si l’auteur de l’attaque trouve une victime dont l’adresse IP jouit d’une bonne réputation, il peut la détériorer en envoyant du courrier indésirable depuis celle-ci » a expliqué Chris Mannon.

Spamhaus, Mail Abuse Prevention System et quelques autres fournisseurs de services de liste noire gratuits sont actuellement exploités par Kelihos.

Chris Mannon explique : « Je sais que si Spamhaus n’a pas encore bloqué l’adresse IP de la victime, les autres services ne l’auront pas bloquée non plus ; le réseau de zombies pourra alors envoyer des messages non sollicités depuis cette adresse.

La longévité de Kelihos repose également sur l’utilisation de la communication P2P au lieu d’un ou de plusieurs serveurs de commande. Il est difficile de mettre des réseaux de zombies P2P hors service. Ces réseaux sont privilégiés non seulement par les bots de courrier indésirable, mais également par les groupes criminels impliqués dans la fraude financière, le vol d’identité ou les attaques DDoS. Un réseau de zombies P2P peut résister non seulement aux autorités judiciaires et policières, mais également aux experts en sécurité qui souhaitent énumérer ces réseaux d’ordinateurs compromis ou perturber leurs services.

Au début de ce mois, des chercheurs qui participent au blog Malware Must Die ont signalé d’autres modifications dans l’infrastructure de Kelihos, notamment une permutation du DNS du domaine de niveau supérieur .RU à .com et ils ont répertorié une douzaine de domaines .com et des centaines de sites .ru qui ont été retirés d’Internet. Ils étaient tous héberger aux Bahamas. Kelihos utilise également des noms de fichier et de registre différents pour éviter la détection, selon Lavasoft.

Des travaux de recherche récents ont porté sur la résilience de réseaux de zombies P2P et plus particulièrement Kelihos, ZeroAccess et Zeus, et ils ont mis en évidence les raisons de celle-ci. En général, les réseaux de zombies P2P communiquent à l’aide de protocoles personnalisés et chiffrés, ce qui complique l’analyse. Ils ne manquent pas non plus d’utiliser les services de réputation des pairs pour confirmer que les bots sont fiables et qu’ils ne figurent pas dans des listes noires. D’autres sont encore plus sophistiqués et utilisent un DNS à flux rapide ou des algorithmes de génération de domaine afin de mettre le réseau de zombies à l’abri des interruptions.

Lors de la conférence RSA 2013, Tillmann Werner, chercheur chez CrowdStrike, a présenté en direct une mise hors service de Kelihos. Il avait réussi à empoisonner une couche intermédiaire de serveurs proxy P2P qui communiquaient avec l’auteur de l’attaque. Il avait pour ce faire programmer un démon de type sinkhole qui se comportait comme un bot. Le démon envoyait les listes de pairs empoisonnées aux autres bots avec lesquels il communiquait, surtout des groupes d’adresses IP repris dans une liste noire et les envoyait vers un gouffre où ils disparaissaient à tout jamais.

Source: threatpost.com

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *