Après Mirai, un nouveau botnet fait surface

By | December 29, 2016

Après Mirai, un nouveau botnet fait surface
Imperva a découvert un nouveau type de botnet capable d’attaque DDoS atteignant un débit de 650 Gbps.

Les experts de sécurité de la firme Imperva ont observé une attaque DDoS massive sur leur réseau le matin du 21 Décembre.
L’attaque s’est passée en deux vagues. La première laissait croire qu’elle ne visait pas d’adresse IP particulière. Selon, les chercheurs d’Imperva, cela s’explique par le fait que la victime potentielle était couverte par ses proxys. Cette attaque a atteint 400 Gbps et a duré 20 minutes.

Vu l’inefficacité de cette première vague, le pirate est revenu 5 minutes plutard avec une autre attaque plus importante valant 650 Gbps avec 150 millions de paquets la seconde ciblant les proxys d’Imperva cette fois. La seconde attaque quant à elle n’a duré que 17 minutes.

Le concepteur de ce botnet a aussi laissé une signature dans les paquets SYN. Les entêtes TCP étaient arrangées pour former ce mot: l337 ou Leet Speak qui est un système d’écriture très répandu sur la Toile.

Malgré l’analyse de l’attaque, Imperva n’a pas été en mesure de trouver quels genres d’appareils ont été utilisés pour la réalisation de cette attaque. Mais la compagnie affirme que l’attaque est une combinaison de charges utiles dont les tailles varient de 44 à 60 bytes et de 799 à 936 bytes.

signature laissée par le concepteur

Les chercheurs d’Imperva ont aussi affirmé que cette attaque ne provenait pas du botnet Mirai. Ils ont par ailleurs noté trois majeures différences entre les deux botnets:

La première, le malware Mirai n’est pas conçu pour lancer de larges attaques SYN comme cette attaque a pu le faire.

La seconde, les trafics envoyés par les botnets Mirai sont codés avec plusieurs options TCP (MSS, SACK, TSVAL, WSS) qui n’étaient pas présentes dans les paquets observés dans cette attaque.

Et la dernière, le contenu du trafic envoyé par les attaques DDoS de Mirai est formé à partir de chaînes de caractères aléatoires. La charge utile du botnet Leet est composée de fichiers systèmes.

Tous ces éléments laissent penser à l’existence d’un nouveau botnet et non une version modifiée de Mirai.

mdestroy

Source: Incapsula.com

Leave a Reply

Your email address will not be published. Required fields are marked *