Le ver IdO Hajime a dépassé ses parents

Hajime, nouvelle version d’un ver qui attaque les appareils IdO, a été découvert par les chercheurs Sam Edwards et Ioannis Profetis de chez Rapidity Networks. Au départ, ce duo d’experts avait l’intention d’étudier Mirai, un malware similaire dont le code source avait été rendu public par le développeur. Alors qu’ils s’attendaient à une augmentation de l’activité du bot après la publication du code, les chercheurs avaient décidé de mettre un place des pièges à travers le monde entier.

Quelques jours plus tard, Sam Edwards et Ioannis Profetis identifiaient une activité qu’ils avaient d’abord attribuée à Mirai mais qui en réalité était le fait d’un nouveau malware plus complexe qui affichait certaines caractéristiques du comportement de Hajime. Il adoptait un mécanisme d’infection en trois étapes et il était capable de se propager lui-même.

Une fois dans le système infecté, Hajime commence à balayer des adresses IP aléatoires dans la zone IPv4. Ensuite, le ver attaque le port 23 et tente d’entrer dans le système à l’autre bout de la connexion en utilisant une sélection d’identifiants codés en dur. Si le port 23 est fermé, le malware interrompt l’attaque par force brute et passe à l’adresse IP suivante.

En cas de réussite de l’attaque par force brute, Hajime envoie au système cible quatre commandes afin de voir s’il héberge le système d’exploitation Linux. Hajime attaque les plateformes ARMv5, ARMv7, Intel x86-64, MIPS et little-endian.

Ensuite, le ver télécharge le fichier binaire ELF de 484 octets et l’exécute afin d’établir une connexion avec le serveur de l’attaque et d’écrire les données obtenues dans un nouveau fichier binaire exécuté dès la fin de la transmission des données. Le fichier binaire exploite le protocole DHT pour se connecter au réseau de zombies P2P qui lui fera parvenir, via un torrent, la charge utile sous la forme d’autres fichiers binaires et de modules.

Ainsi, Hajime est un malware beaucoup mieux pensé que Mirai. Il utilise également d’autres astuces propres à d’autres malwares IdO. Par exemple, Rex établit également une connexion DHT avec le réseau de zombies P2P. La présence de paires « nom d’utilisateur-mot de passe » pour des attaques par force brute contre des adresses IP aléatoires est une des particularités de Mirai. Le mécanisme d’infection en plusieurs étapes est similaire à celui adopté par NyaDrop.

Par contre, Hajime a été programmé en langage C et non pas Go comme Rex, et il utilise des communications P2P au lieu d’une connexion directe au centre de commande (Mirai). De plus, il infecte une plage de plateformes plus étendues, et pas uniquement MIPS (NyaDrop). Hajime réunit donc les méthodes les plus efficaces qu’il a empruntées à d’autres types de malwares IdO.

Hajime vise les caméras IP, les DVR et les systèmes de vidéo-surveillance, dont les systèmes de Dahua, de ZTE et d’autres fabricants auxquels le fabricant sous contrat XiongMai Technologies a fourni les systèmes DVR génériques. Pour déjouer l’attaque Hajime, il faut bloquer tous les paquets UDP avec un message relatif à l’échange de clés avec Hajime, le port TPC 4636 et n’importe quel trafic Telnet avec la commande /bin/busybox ECCHI. Les chercheurs ne disposent d’aucune information sur l’identité du ou des auteurs de ce malware. Sur la base des périodes d’activité, les experts de Rapidity supposent que le fuseau horaire correspond à l’Europe.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *