Pour gérer vos consentements :
Categories: RéseauxSécurité

Leet rejoint Mirai sur la liste des botnets IoT

Découvrir, sans l’avoir cherché, un botnet du même acabit que Mirai* : c’est ce qui est arrivé aux équipes d’Imperva.

Le 21 décembre dernier, la firme américaine spécialisée dans la cybersécurité a détecté une attaque DDoS visant son CDN Incapsula.

L’offensive ne visait pas un client en particulier. Il semble que l’assaillant n’ait pas été capable de déterminer l’IP de sa cible, masquée par des proxys. Il s’est donc rabattu sur l’infrastructure.

L’attaque s’est déroulée en deux vagues.

La première a duré une vingtaine de minutes, avec un pic à 400 Gbit/s, mais elle n’a pas perturbé les services d’Imperva. Six minutes se sont écoulées et une deuxième salve a été lancée, atteignant 650 Gbit/s, à raison de plus de 150 millions de paquets TCP par seconde. Elle a pris fin au bout d’environ un quart d’heure, se soldant là aussi sur un échec, d’après Imperva.

Petits et grands

Si l’utilisation d’adresses IP usurpées rend impossible le traçage et la géolocalisation du botnet, l’analyse du trafic donne des indices sur son fonctionnement.

Le DDoS subi par Imperva est de type « SYN flood » : les serveurs ont été saturés par les requêtes de clients demandant l’initialisation d’une connexion TCP… mais n’envoyant pas de message de confirmation, laissant la connexion « en attente » et consommant d’autant de ressources côté serveur.

En analysant les paquets SYN, Imperva en a détecté deux types : certains de taille « traditionnelle » (44 à 60 octets) et d’autres anormalement volumineux (799 à 936 octets).

Cette combinaison est de plus en plus fréquente. En associant la transmission d’un grand nombre de paquets à une forte capacité de montée en charge, elle permet de créer un goulot d’étranglement tout en mettant hors service les nœuds du réseau.

Surprise dans l’en-tête TCP des paquets SYN « normaux » : plusieurs d’entre eux sont organisés de manière à retrouver les caractères « 1337 », soit, en code ASCII, le langage de l’élite (« Leet » en anglais).

Un concurrent de Mirai

Concernant les paquets « anormaux », un certain nombre renferment des listes d’adresses IP. D’après Imperva, cela démontre que le malware est conçu pour accéder à des fichiers locaux sur les serveurs visés (typiquement, les logs) et y récupérer lesdites adresses IP afin d’élargir son périmètre d’adresse.

Cette technique a un avantage : elle contourne les dispositifs destinés à bloquer des attaques en identifiant des ressemblances entre les paquets.

Imperva n’a pas pu déterminer si, comme Mirai, le botnet s’appuie sur des objets connectés. Mais l’ampleur de l’attaque laisse peu de doute.

Quant à savoir s’il s’agit bien d’un nouveau botnet et pas d’une simple variante de Mirai, plusieurs éléments le démontrent.

En premier lieu, Mirai n’est pas conçu pour mener des « SYN floods » (confer la ligne de code ci-dessous). Ensuite, seuls 0,01 % des paquets associés à Leet présentent une similitude avec ceux de Mirai. Ce dernier génère par ailleurs ses charges utiles de manière aléatoire, là où Leet se base, comme évoqué plus haut, sur des listes d’IP.

* Mirai est notamment impliqué dans une série de trois DDoS contre le gestionnaire d’infrastructure DNS Dyn. Des perturbations ont été recensées sur des services tels que Twitter, Spotify, PayPal et Airbnb, le rapprochement ne pouvant plus s’effectuer entre les noms des sites et les adresses de leurs serveurs Web.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

5 mois ago