Hacktu Magazine Le magazine de la cybersécurité
Depuis la divulgation de la vulnérabilité Log4J, plusieurs logiciels malveillants opportunistes sont apparus, exploitant largement les faiblesses de sécurité de la bibliothèque logicielle Java présente dans Apache. En effet, des logiciels malveillants Elknot, Mirai, Gafgyt, continuent d’exploiter activement la vulnérabilité.
Sans surprise, un nouveau candidat à l’exploitation de cette faille critique a été découvert par les experts en sécurité de la société 360Netlab.
Selon les expertes, le trafic réseau généré par un bout du code a déclenché une alerte de tunnel DNS dans le système de surveillance de l’organisation, ce qui a permis de détecter un nouveau logiciel malveillant de type botnet, baptisé B1txor20. Le nom anecdotique de ce logiciel malveillant vient du fait qu’il se propage à l’aide d’un nommé « b1t », avec l’algorithme de chiffrement XOR et une longueur de clé de l’algorithme RC4 de 20 octets.
A propos de B1txor20
B1txor20 est une porte dérobée pour la plate-forme Linux, qui utilise la technologie DNS Tunnel pour construire des canaux de communication C2. En plus des fonctions de porte dérobée traditionnelles, B1txor20 a également des fonctions telles que l’ouverture du proxy Socket5 et le téléchargement et l’installation à distance de Rootkit.
Au total quatre échantillons B1txor20 différents ont été identifiés et ils présentent des fonctions presque identiques.
Son mode de fonctionnement est assez particulier, car B1txor20 utilise le tunnel DNS pour établir le canal C2, prendre en charge la connexion directe et relay, tout en utilisant la compression ZLIB, le cryptage RC4, l’encodage BASE64 pour protéger le trafic du cheval de Troie de porte dérobée, cible principalement l’architecture CPU ARM, X64 de la plate-forme Linux.
En termes simples, lorsque B1txor20 s’exécute, il se déguise d’abord en processus [netns]. Ensuite il exécute une seule instance via le fichier PID/var/run/.netns.pid, puis utilise /etc/machine-id, /tmp/ .138171241 ou /dev/urandom pour générer le BotID. Il déchiffre le nom de domaine utilisé pour le tunnel DNS et la clé secrète RC4 utilisée pour chiffrer le trafic et tester la connectivité du serveur DNS. Enfin, il utilise le tunnel DNS pour envoyer les informations d’enregistrement au serveur C2 (Commande et contrôle) et attend l’exécution des commandes émises par C2.
Par ailleurs, il a été mentionné que de nombreuses fonctionnalités développées ne sont pas mises en service et que certaines fonctionnalités ont des bugs. Ce qui indique qu’il s’agit clairement d’une version en cours développement et que de nouvelles fonctionnalités, potentialités encore plus puissantes seront implémentées dans les mois à venir. Il très probable que des versions améliorées voire inspirées de B1txor20 soient découvertes dans un future très proche.
