Actualités

HEH : découverte d’un botnet impactant Telnet via une attaque brute-force !

Dans un billet datant du 6 Octobre dernier, l’équipe sécuritaire NetLab 360 met en lumière HEH, un botnet basé sur WSL (Windows Subsystem for Linux) et qui détourne les services Telnet pour diffuser du contenu en peer-to-peer ou, au besoin, exécuter des commandes sous Shell…

 

 

En effet, comme tout Botnet du genre, HEH dispose d’une palette de fonctions assez variées : tout débute depuis un script malicieux (Shell) – wpqnbw.txt – avant de d’enclencher son mode “démoniaque” : tout en fermant les ports ou en substituant les connexions-réseau (port 80, entre-autre) via un serveur HTTP, une attaque par brute-force est opérée sur le port général (23 / 2323). Dans la foulée, des modules ou fonctions sont déployées pour étendre la e-viralité.

 

Le PoC de l’attaque par brute-force depuis le botnet HEH,
permettant de finaliser la diffusion depuis le serveur HTTP…

Concernant l’attaque-même, celle-ci s’initialise en passant en revue de manière aléatoire un listing d’IPs pour faire corréler l’ensemble à celle ainsi ciblée (localhost : 127.0.0.1) ; dans le cas contraire, une autre analyse cherchera à trouver un port ouvert ou accessible (ici, le port 23 – Telnet). Une fois l’intrusion effective, la victime, à son insu, ira se connecter au serveur depuis son terminal ainsi infecté et la diffusion pourra ainsi être totale, depuis le serveur HTTP.

8 exemplaires (langues) de la Déclaration des droits de l’Homme résident : ces publications vertueuses servent de contenu intermédiaire pour faire place au contenu issu des serveurs HTTPs. On peut, notamment, y retrouver un module de peer-to-peer : conçu en langage Go, il court-circuite le port 80 pour se mettre à jour régulièrement en terme de transit-données via un fichier binaire exécutable. Le module se constitue via un Ping et une mise à jour quasi-instantanée (toutes les 10 secondes pour chacun) ; “chaque fois que HEH Bot reçoit une nouvelle adresse IP d’homologue, il calcule le port UDP de l’homologue en fonction de l’algorithme et intègre ces informations dans sa liste d’homologues. L’algorithme de génération de port est implémenté dans la fonction main.portGenerator ()” est-il précisé, concernant le mode de fonctionnement de l’UDP.

 

Parmis ses multiples fonctions, le Botnet HEH permet d’auto-détruire un système ainsi infecté…

Bien que les fonctions d’attaques ne soient pas implémentées, elles existent au sein du Botnet, tout comme l’auto-destruction, les mises à jour de fichiers ou du module P2P ou encore l’impression (également non-implémentée). Selon les constats de NetLab 360, un manque d’implémentation serait dû à un développement encore en cours d’ébauche du Botnet : à la vue des outils assez élaborés, on peut, aussi, envisager qu’il ne s’agit, malheureusement, que d’un échantillon-test et qu’une version plus mature (peut-être sous un nom autre ou différent) seraient déjà dans la nature… A veiller !

 

Source : Blog NetLab 360 – 6 Octobre 2020 – HEH : Botnet exploitant Telnet pour diffuser des modules depuis une attaque par brute-force.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020