ZHtrap Botnet

Bien que le code source du tristement célèbre botnet Mirai ait été divulgué au public en 2016, les cybercriminels utilisent toujours des morceaux ou s'en inspirent. Un exemple de ce dernier est le ZHtrap Botnet découvert par les chercheurs du 360 Netlab.

Le malware peut prendre en charge un large éventail d'appareils et les assimiler à la structure du botnet. L'objectif principal du botnet semble être de mener des attaques DDoS (déni de service distribué), mais un canal de porte dérobée créé sur les appareils compromis permet également à l'acteur de la menace de supprimer des charges utiles supplémentaires de logiciels malveillants. L'infrastructure de commande et de contrôle de la campagne utilise un serveur hébergé sur le réseau TOR et un proxy TOR qui masque le trafic de communication anormal généré par le botnet.

Pour sa distribution, ZHtrap tire parti de quatre vulnérabilités connues qui lui permettent d'infecter les routeurs, les DVR et les périphériques réseau UPnP. Plus spécifiquement, ZHtrap s'attaque à Netgear DGN1000, MVPower DVR, points de terminaison Realtek SDK Miniigd UPnP SOAP et de nombreux appareils CCTV-DVR. Les appareils avec des mots de passe Telnet faibles seront également attaqués.

La menace de logiciel malveillant garantira qu'il s'agit de la seule charge utile malveillante en cours d'exécution sur l'appareil spécifique via une liste blanche qui inclut uniquement les processus qui ont déjà été démarrés sur l'appareil. Toutes les tentatives d'exécuter des commandes supplémentaires seront bloquées.

Cependant, l'aspect qui distingue le plus ZHtrap de la majorité des autres botnets est sa capacité à transformer les appareils compromis en pots de miel. Le terme honeypot est utilisé dans le domaine de la cybersécurité pour traiter un outil qui agit comme un appât pour les attaques de logiciels malveillants en collectant des analyses, des échantillons de code et des exploits potentiels. ZHtrap utilise une technique similaire mais renverse son objectif. Il demande aux périphériques capturés de commencer à écouter une liste de 23 ports. Toutes les adresses IP qui tentent de se connecter via ces ports seront alimentées via le module d'analyse du malware en tant que nouvelles cibles potentielles.