Nouvelle "B1txor20" Le botnet Linux utilise le tunnel DNS et exploite la faille Log4J


Une porte dérobée précédemment non documentée a été observée ciblant les systèmes Linux dans le but de regrouper les machines dans un botnet et d’agir comme un conduit pour le téléchargement et l’installation de rootkits.

L’équipe de sécurité Netlab de Qihoo 360 l’a appelé B1txor20 « sur la base de sa propagation à l’aide du nom de fichier ‘b1t’, de l’algorithme de chiffrement XOR et de la longueur de clé de l’algorithme RC4 de 20 octets. »

Sauvegardes GitHub automatiques

Observé pour la première fois se propageant via la vulnérabilité Log4j le 9 février 2022, le logiciel malveillant exploite une technique appelée tunnel DNS pour créer des canaux de communication avec des serveurs de commande et de contrôle (C2) en encodant les données dans les requêtes et les réponses DNS.

Réseau de zombies Linux

B1txor20, bien que bogué à certains égards, prend actuellement en charge la possibilité d’obtenir un shell, d’exécuter des commandes arbitraires, d’installer un rootkit, d’ouvrir un Mandataire SOCKS5et des fonctions pour télécharger des informations sensibles vers le serveur C2.

Une fois qu’une machine est compromise avec succès, le logiciel malveillant utilise le tunnel DNS pour récupérer et exécuter les commandes envoyées par le serveur.

Empêcher les violations de données

« Le bot envoie les informations sensibles volées, les résultats d’exécution de la commande et toute autre information devant être livrée, après les avoir masquées à l’aide de techniques de codage spécifiques, à C2 sous forme de requête DNS », ont expliqué les chercheurs.

« Après avoir reçu la demande, C2 envoie la charge utile au côté Bot en réponse à la demande DNS. De cette façon, Bot et C2 parviennent à communiquer à l’aide du protocole DNS. »

Un total de 15 commandes sont implémentées, les principales étant le téléchargement d’informations système, l’exécution de commandes système arbitraires, la lecture et l’écriture de fichiers, le démarrage et l’arrêt de services proxy et la création de shells inversés.



ttn-fr-57