{"id":37358,"date":"2022-03-16T13:33:59","date_gmt":"2022-03-16T15:33:59","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-b1txor20-le-botnet-linux-utilise-le-tunnel-dns-et-exploite-la-faille-log4j\/"},"modified":"2022-03-16T13:34:10","modified_gmt":"2022-03-16T15:34:10","slug":"nouvelle-b1txor20-le-botnet-linux-utilise-le-tunnel-dns-et-exploite-la-faille-log4j","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-b1txor20-le-botnet-linux-utilise-le-tunnel-dns-et-exploite-la-faille-log4j\/","title":{"rendered":"Nouvelle "B1txor20" Le botnet Linux utilise le tunnel DNS et exploite la faille Log4J"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Une porte d\u00e9rob\u00e9e pr\u00e9c\u00e9demment non document\u00e9e a \u00e9t\u00e9 observ\u00e9e ciblant les syst\u00e8mes Linux dans le but de regrouper les machines dans un botnet et d’agir comme un conduit pour le t\u00e9l\u00e9chargement et l’installation de rootkits.<\/p>\n

L’\u00e9quipe de s\u00e9curit\u00e9 Netlab de Qihoo 360 l’a appel\u00e9 B1txor20<\/strong><\/a> “sur la base de sa propagation \u00e0 l’aide du nom de fichier ‘b1t’, de l’algorithme de chiffrement XOR et de la longueur de cl\u00e9 de l’algorithme RC4 de 20 octets.”<\/p>\n

\"Sauvegardes<\/a><\/div>\n

Observ\u00e9 pour la premi\u00e8re fois se propageant via la vuln\u00e9rabilit\u00e9 Log4j le 9 f\u00e9vrier 2022, le logiciel malveillant exploite une technique appel\u00e9e tunnel DNS pour cr\u00e9er des canaux de communication avec des serveurs de commande et de contr\u00f4le (C2) en encodant les donn\u00e9es dans les requ\u00eates et les r\u00e9ponses DNS.<\/p>\n

\"R\u00e9seau<\/div>\n

B1txor20, bien que bogu\u00e9 \u00e0 certains \u00e9gards, prend actuellement en charge la possibilit\u00e9 d’obtenir un shell, d’ex\u00e9cuter des commandes arbitraires, d’installer un rootkit, d’ouvrir un Mandataire SOCKS5<\/a>et des fonctions pour t\u00e9l\u00e9charger des informations sensibles vers le serveur C2.<\/p>\n

Une fois qu’une machine est compromise avec succ\u00e8s, le logiciel malveillant utilise le tunnel DNS pour r\u00e9cup\u00e9rer et ex\u00e9cuter les commandes envoy\u00e9es par le serveur.<\/p>\n

\"Emp\u00eacher<\/a><\/div>\n

“Le bot envoie les informations sensibles vol\u00e9es, les r\u00e9sultats d’ex\u00e9cution de la commande et toute autre information devant \u00eatre livr\u00e9e, apr\u00e8s les avoir masqu\u00e9es \u00e0 l’aide de techniques de codage sp\u00e9cifiques, \u00e0 C2 sous forme de requ\u00eate DNS”, ont expliqu\u00e9 les chercheurs.<\/p>\n

“Apr\u00e8s avoir re\u00e7u la demande, C2 envoie la charge utile au c\u00f4t\u00e9 Bot en r\u00e9ponse \u00e0 la demande DNS. De cette fa\u00e7on, Bot et C2 parviennent \u00e0 communiquer \u00e0 l’aide du protocole DNS.”<\/p>\n

Un total de 15 commandes sont impl\u00e9ment\u00e9es, les principales \u00e9tant le t\u00e9l\u00e9chargement d’informations syst\u00e8me, l’ex\u00e9cution de commandes syst\u00e8me arbitraires, la lecture et l’\u00e9criture de fichiers, le d\u00e9marrage et l’arr\u00eat de services proxy et la cr\u00e9ation de shells invers\u00e9s.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Une porte d\u00e9rob\u00e9e pr\u00e9c\u00e9demment non document\u00e9e a \u00e9t\u00e9 observ\u00e9e ciblant les syst\u00e8mes Linux dans le but de regrouper les machines dans un botnet et d’agir comme un conduit pour le t\u00e9l\u00e9chargement et l’installation de rootkits. L’\u00e9quipe de s\u00e9curit\u00e9 Netlab de Qihoo 360 l’a appel\u00e9 B1txor20 “sur la base de sa propagation \u00e0 l’aide du nom […]<\/p>\n","protected":false},"author":1,"featured_media":37359,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5464,4168,4158,4165,4161,6016,7727,9048,4157,4159,4171,4170,18088,28860,4167,4160,197,4163,4162,28859,4172,4169,12559,1282,4166,4164],"class_list":["post-37358","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-botnet","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dns","tag-exploite","tag-faille","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linux","tag-log4j","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-quotb1txor20quot","tag-securite-informatique","tag-securite-internet","tag-tunnel","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/37358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=37358"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/37358\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/37359"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=37358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=37358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=37358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}