Leet rejoint Mirai sur la liste des botnets IoT

RéseauxSécurité

Les équipes d’Imperva ont mis le doigt sur un botnet dont les capacités rappellent celles de Mirai, mais dont le mode opératoire est différent.

Découvrir, sans l’avoir cherché, un botnet du même acabit que Mirai* : c’est ce qui est arrivé aux équipes d’Imperva.

Le 21 décembre dernier, la firme américaine spécialisée dans la cybersécurité a détecté une attaque DDoS visant son CDN Incapsula.

L’offensive ne visait pas un client en particulier. Il semble que l’assaillant n’ait pas été capable de déterminer l’IP de sa cible, masquée par des proxys. Il s’est donc rabattu sur l’infrastructure.

L’attaque s’est déroulée en deux vagues.

La première a duré une vingtaine de minutes, avec un pic à 400 Gbit/s, mais elle n’a pas perturbé les services d’Imperva. Six minutes se sont écoulées et une deuxième salve a été lancée, atteignant 650 Gbit/s, à raison de plus de 150 millions de paquets TCP par seconde. Elle a pris fin au bout d’environ un quart d’heure, se soldant là aussi sur un échec, d’après Imperva.

Petits et grands

Si l’utilisation d’adresses IP usurpées rend impossible le traçage et la géolocalisation du botnet, l’analyse du trafic donne des indices sur son fonctionnement.

Le DDoS subi par Imperva est de type « SYN flood » : les serveurs ont été saturés par les requêtes de clients demandant l’initialisation d’une connexion TCP… mais n’envoyant pas de message de confirmation, laissant la connexion « en attente » et consommant d’autant de ressources côté serveur.

En analysant les paquets SYN, Imperva en a détecté deux types : certains de taille « traditionnelle » (44 à 60 octets) et d’autres anormalement volumineux (799 à 936 octets).

Cette combinaison est de plus en plus fréquente. En associant la transmission d’un grand nombre de paquets à une forte capacité de montée en charge, elle permet de créer un goulot d’étranglement tout en mettant hors service les nœuds du réseau.

Surprise dans l’en-tête TCP des paquets SYN « normaux » : plusieurs d’entre eux sont organisés de manière à retrouver les caractères « 1337 », soit, en code ASCII, le langage de l’élite (« Leet » en anglais).

leet-tcp-options

Un concurrent de Mirai

Concernant les paquets « anormaux », un certain nombre renferment des listes d’adresses IP. D’après Imperva, cela démontre que le malware est conçu pour accéder à des fichiers locaux sur les serveurs visés (typiquement, les logs) et y récupérer lesdites adresses IP afin d’élargir son périmètre d’adresse.

Cette technique a un avantage : elle contourne les dispositifs destinés à bloquer des attaques en identifiant des ressemblances entre les paquets.

Imperva n’a pas pu déterminer si, comme Mirai, le botnet s’appuie sur des objets connectés. Mais l’ampleur de l’attaque laisse peu de doute.

Quant à savoir s’il s’agit bien d’un nouveau botnet et pas d’une simple variante de Mirai, plusieurs éléments le démontrent.

En premier lieu, Mirai n’est pas conçu pour mener des « SYN floods » (confer la ligne de code ci-dessous). Ensuite, seuls 0,01 % des paquets associés à Leet présentent une similitude avec ceux de Mirai. Ce dernier génère par ailleurs ses charges utiles de manière aléatoire, là où Leet se base, comme évoqué plus haut, sur des listes d’IP.

mirai-syn

* Mirai est notamment impliqué dans une série de trois DDoS contre le gestionnaire d’infrastructure DNS Dyn. Des perturbations ont été recensées sur des services tels que Twitter, Spotify, PayPal et Airbnb, le rapprochement ne pouvant plus s’effectuer entre les noms des sites et les adresses de leurs serveurs Web.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur