Le réseau Tor utilisé par un botnet

Le par  |  5 commentaire(s)
GData-botnet-tor

Les chercheurs en sécurité de G Data ont mis au jour un botnet qui a recours au réseau d'anonymisation Tor afin de dissimuler son trafic de commande et contrôle.

Les bergers ( ou propriétaires ) de botnets ont pour problématique de protéger au mieux le trafic de données qui leur permet d'envoyer des ordres aux ordinateurs devenus des zombies après une infection et qui passent sous leur contrôle.

Ce trafic de commande et contrôle passe généralement par un serveur central ou des réseaux P2P spécialement conçus. Des chercheurs en sécurité de G Data ont mis au jour une chaîne de commandes qui transite par le réseau Tor.

Le célèbre réseau avec son routage en oignon est d'habitude surtout connu pour offrir un certain anonymat sur Internet et permettre de passer outre le blocage de sites Web dans divers pays.

Outre cette spécificité liée à Tor, le botnet découvert par G Data n'a toutefois rien de particulier avec plusieurs possibilités comme les attaques par déni de service distribué, le téléchargement et l'exécution d'autres malwares.

GData-botnet-torSur Tor, les créateurs du botnet ont mis en place un serveur IRC ( Internet Relay Chat ) en tant que service caché et qui sert donc de commande et contrôle.

Pour les chercheurs, cette approche offre plusieurs avantages comme l'anonymat du serveur, un blocage difficile par les autorités, le chiffrement du trafic par Tor. Mais elle a aussi des inconvénients à l'instar des malwares transitant par le service caché qui sont sujets aux latences du réseau Tor.

En outre, " alors que ce trafic ajoute beaucoup de sécurité pour la communication du botnet, le malware lui-même peut être bloqué par un antivirus en utilisant une détection par signature et analyse comportementale ".

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #1020812
Ca serait gentil de la part des opérateurs de ce botnet de bien vouloir transformer une petite proportion de leurs zombies en noeuds de sortie
Le #1020842
Associée à Flame/Stuxnet/Duqu et autres ... La complexité croissante des malwares/réseaux de botnets/suceurs de data fait vraiment peur, à la limite de l'alarmant ...
Le #1020852
J'ai du mal à voir quel type de botnet trouve avantage à utiliser Tor pour l'ensemble de son réseau. A la limite pour une partie ça permet de remonter plus difficilement au serveur. Mais pour le reste on perd largement en latence.

Sans être "complotiste" est-ce qu'on ne pourrait pas imaginer qu'il s'agit d'un moyen de décrédibiliser ou porter atteinte au réseau...
Le #1020942
Peut être un peu les deux. ou simplement un truc gouvernemental.......
Le #1020952
Kiloo a écrit :

J'ai du mal à voir quel type de botnet trouve avantage à utiliser Tor pour l'ensemble de son réseau. A la limite pour une partie ça permet de remonter plus difficilement au serveur. Mais pour le reste on perd largement en latence.

Sans être "complotiste" est-ce qu'on ne pourrait pas imaginer qu'il s'agit d'un moyen de décrédibiliser ou porter atteinte au réseau...


Un botnet n'a pas des requêtes aussi fréquentes qu'un navigateur (pour l'exemple). Il ne doit envoyer que quelques commandes et donc la bande passante nécessaire peut être très petite. Tor est viable pour un navigateur, donc cela représente une autoroute à 4 bandes pour un skateboard (le botnet) Par contre la dislocation de son serveur va s'avérer nettement plus difficile.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]