Infos

Le ver IdO Hajime a dépassé ses parents

Hajime, nouvelle version d’un ver qui attaque les appareils IdO, a été découvert par les chercheurs Sam Edwards et Ioannis Profetis de chez Rapidity Networks. Au départ, ce duo d’experts avait l’intention d’étudier Mirai, un malware similaire dont le code source avait été rendu public par le développeur. Alors qu’ils s’attendaient à une augmentation de l’activité du bot après la publication du code, les chercheurs avaient décidé de mettre un place des pièges à travers le monde entier.

Quelques jours plus tard, Sam Edwards et Ioannis Profetis identifiaient une activité qu’ils avaient d’abord attribuée à Mirai mais qui en réalité était le fait d’un nouveau malware plus complexe qui affichait certaines caractéristiques du comportement de Hajime. Il adoptait un mécanisme d’infection en trois étapes et il était capable de se propager lui-même.

Une fois dans le système infecté, Hajime commence à balayer des adresses IP aléatoires dans la zone IPv4. Ensuite, le ver attaque le port 23 et tente d’entrer dans le système à l’autre bout de la connexion en utilisant une sélection d’identifiants codés en dur. Si le port 23 est fermé, le malware interrompt l’attaque par force brute et passe à l’adresse IP suivante.

En cas de réussite de l’attaque par force brute, Hajime envoie au système cible quatre commandes afin de voir s’il héberge le système d’exploitation Linux. Hajime attaque les plateformes ARMv5, ARMv7, Intel x86-64, MIPS et little-endian.

Ensuite, le ver télécharge le fichier binaire ELF de 484 octets et l’exécute afin d’établir une connexion avec le serveur de l’attaque et d’écrire les données obtenues dans un nouveau fichier binaire exécuté dès la fin de la transmission des données. Le fichier binaire exploite le protocole DHT pour se connecter au réseau de zombies P2P qui lui fera parvenir, via un torrent, la charge utile sous la forme d’autres fichiers binaires et de modules.

Ainsi, Hajime est un malware beaucoup mieux pensé que Mirai. Il utilise également d’autres astuces propres à d’autres malwares IdO. Par exemple, Rex établit également une connexion DHT avec le réseau de zombies P2P. La présence de paires « nom d’utilisateur-mot de passe » pour des attaques par force brute contre des adresses IP aléatoires est une des particularités de Mirai. Le mécanisme d’infection en plusieurs étapes est similaire à celui adopté par NyaDrop.

Par contre, Hajime a été programmé en langage C et non pas Go comme Rex, et il utilise des communications P2P au lieu d’une connexion directe au centre de commande (Mirai). De plus, il infecte une plage de plateformes plus étendues, et pas uniquement MIPS (NyaDrop). Hajime réunit donc les méthodes les plus efficaces qu’il a empruntées à d’autres types de malwares IdO.

Hajime vise les caméras IP, les DVR et les systèmes de vidéo-surveillance, dont les systèmes de Dahua, de ZTE et d’autres fabricants auxquels le fabricant sous contrat XiongMai Technologies a fourni les systèmes DVR génériques. Pour déjouer l’attaque Hajime, il faut bloquer tous les paquets UDP avec un message relatif à l’échange de clés avec Hajime, le port TPC 4636 et n’importe quel trafic Telnet avec la commande /bin/busybox ECCHI. Les chercheurs ne disposent d’aucune information sur l’identité du ou des auteurs de ce malware. Sur la base des périodes d’activité, les experts de Rapidity supposent que le fuseau horaire correspond à l’Europe.

Fonte: Threatpost

Le ver IdO Hajime a dépassé ses parents

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception