TDSS se dote d’un générateur de noms de domaine

D’après les informations de Damballa, le réseau de zombies qui repose sur l’outil de dissimulation d’activité TDL-4 s’est doté d’un nouveau dispositif de protection, à savoir un algorithme de génération de noms de domaines (DGA).

L’utilisation de ce genre d’algorithme pour masquer l’emplacement réel du centre de commande est une vieille astuce qui est assez efficace. Elle a été adoptée
avec succès par les propriétaires de Kraken, Sinowal, Waledac, Kido et ZeuS afin d’allonger la durée de vie des infrastructures de commande. L’algorithme de génération de noms de domaine produit selon une fréquence déterminée de longues listes de noms de domaine fruits d’une sélection aléatoire. Lorsqu’il tente de contacter le centre de commande, le bot parcourt les noms de la liste et envoie des requêtes au serveur DNS jusqu’à ce qui trouve un domaine opérationnel.

Les experts ont noté un renforcement de l’activité NS lors de l’observation d’une nouvelle campagne de fraude au clic impliquant TDL-4. Les particularités du trafic DNS ont déclenché les analyseurs de réseau de Damballa configurés pour rechercher les menaces sur Internet qui utilisent un générateur de noms de domaine. Il se fait que la source du comportement suspect étaient des bots TDL-4 qui tentaient de trouver le centre de commande sur Internet afin d’envoyer les résultats de la fraude au clic. Les experts n’ont pas encore réussi à confirmer leur découverte à l’aide d’un exemple concret : il semblerait que personne ne dispose de l’échantillon requis. Pour confirmer ses suppositions, Damballa a du utiliser un piège à trafic, à savoir un routeur qui intercepte le trafic de commande, et des instantanés de la mémoire des périphériques infectés.

Il semblerait que la version de TDL-4 avec algorithme de génération de noms de domaine existe sur Internet depuis le mois de mai de cette année. Il a déjà fait plus de 250 000 victimes, dont des institutions gouvernementales, des fournisseurs d’accès Internet et 46 sociétés de la liste Fortune 500. Les enquêteurs ont recensé 85 serveurs et 418 domaines uniques associés au nouveau TDL-4. Les pays où le plus grand nombre de centres de commande a été découvert sont la Russie (26 hôtes), la Roumanie (15) et les Pays-Bas (12). La campagne de fraude au clic citée ci-dessus visait Facebook, DoubleClick, Youtube, Yahoo.com, MSN et Google.com.

TDL-4 est apparu sur Internet il y a deux ans. Il s’agissait d’une nouvelle évolution de l’outil de dissimulation d’activité TDSS. D’après Kaspersky Lab, au début de l’année dernière, le réseau de zombies construit à l’aide de celui-ci comptait plus de 4,5 millions d’ordinateurs infectés. Ce puissant dispositif permet aux individus malintentionnés de réaliser des escroqueries impliquant des publicités et les moteurs de recherche. Ils obtiennent également l’anonymat de l’accès à Internet et peuvent installer d’autres programmes malveillants sur les ordinateurs qui appartiennent au réseau de zombies. L’arsenal de protection de TDL-4 contient notamment le cryptage du trafic de commande, l’administration via des canaux P2P, des serveurs proxy et même son propre antivirus pour supprimer les concurrents. La découverte réalisée par Damballa prouve une fois de plus que le perfectionnement de TDSS ne s’arrête jamais.

Source Damballa

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *