IoTroop, une nouvelle pandémie touchant les objets connectés

Filtrer par catégorie :

25 Octobre 2017 by Nha-Khanh Nguyen
iotroop
Tout le monde se rappelle la vague d'attaque générée par le botnet Mirai fin 2016. Le monde de l'IoT, jusqu'alors assez peu visé par les malwares, connaît l'un de ses premiers botnets dévastateurs. On parle alors d'un réseau de botnet de plus de centaines de milliers d'équipements connectés composé entre autres de caméras de surveillance. Ces derniers jours, une nouvelle menace a été identifiée par Checkpoint. Baptisé IoTroop par certains, Reaper par d'autres, ce nouveau botnet a déjà amassé plus d'un million d'équipements dans le monde. La firme parle de "cyber-storm" capable de mettre à plat l'Internet entier. Si cette allégation peut paraître quelque peu exagérée, c'est la première fois dans l'histoire des objets connectés qu'un malware impacte un nombre aussi important d'organisations comprenant des établissements de santé, des réseaux de transports ou encore des entreprises variées.


La relève de Mirai

Les chercheurs prêtent à IoTroop une certaine ressemblance avec Mirai. En effet, le malware semble s'attaquer particulièrement aux objets connectés et se propage comme un ver informatique. Ainsi, après avoir identifié un équipement vulnérable, IoTroop s'introduit dans l'appareil via une faille de sécurité puis tente de repérer d'autres équipements vulnérables. Selon Checkpoint, il emprunte également à Mirai plusieurs parties de son code, mais il est impossible à l'heure actuelle de déterminer s’il existe un réel lien entre ces deux malwares.

Pour l'instant, aucun signe d'attaque du botnet, ce dernier semble seulement infecter les objets puis se répandre. Pourquoi IoTroop alarme-t-il à ce point les médias parlant d'une menace bien plus importante que le botnet Mirai ? Il se trouve que le nouveau malware ne s'attaque plus aux identifiants par défaut des caméras ou des enregistreurs DVR, mais scanne les équipements du réseau à la recherche de failles de sécurité bien spécifiques. Jusqu'alors, un peu moins d'une dizaine d'exploit utilisés par le botnet ont été répertoriés, mais il semblerait que de nouveaux codes d'exploit soient rajoutés chaque jour. Le malware touche donc irrémédiablement un panel d'objets connectés bien plus large que son prédécesseur et la liste est longue. Parmi les marques les plus connues, Netgear, D-Link, GoAhead ou Linksys qui possèdent une large gamme de produit impactés. Malgré la passivité du botnet, les chercheurs craignent le calme avant la tempête. Le botnet semble être en phase de recrutement et le nombre d'objets infectés s'accroît de manière exponentielle depuis début octobre.

trends
 
Checkpoint tend à penser que IoTroop est amené comme Mirai à perpétrer des attaques de type DDoS dues à leur similarité au niveau du code source - toujours en cours d'analyse, mais il est encore impossible de déterminer les véritables intentions du botnet.


Comportement d'IoTroop

Le botnet est décrit comme beaucoup plus évolué et complexe que Mirai. D'une part, il infecte les objets connectés par le biais de vulnérabilités découvertes assez récemment, datant d'à peine quelques mois. De ce fait, très peu d'équipements ont étés corrigés depuis et certains fabricants sont encore en cours de réalisation des correctifs de sécurité. D'autre part, il intègre un environnement d'exécution LUA permettant ainsi à l'attaquant de développer par la suite des scripts d'attaques bien plus complexes que la plupart des malwares.

L'étude de la firme de sécurité chinoise 360 Netlab montre qu’ IoTroop est composé de quatre types de serveurs, ce qui le rend somme toute plus complexe que Mirai : un downloader, un contrôleur, un reporter et un loader.

Le downloader, comme son nom l'indique, possède les binaires téléchargés sur l'équipement infecté. Ces serveurs sembleraient pour la plupart posséder une adresse avec le sous-domaine "d" (ex : d.hl852.com). Le contrôleur permet quant à lui de gérer les équipements zombies (bots). Ils possèdent une adresse avec le sous-domaine "e" (ex : e.hl852.com). Le reporter collecte les informations concernant les équipements potentiellement vulnérables transmis par les bots et utilisent le sous-domaine "f" (ex : f.hl852.com). Enfin, le loader implante le programme malveillant dans les équipements collectés par le reporter au travers de la vulnérabilité identifiée.


Vulnérabilités

Contrairement à Mirai, IoTroop ne scanne pas les ports Telnet afin d'effectuer une attaque de bruteforce sur les identifiants, mais recherche des vulnérabilités spécifiques. A ce jour, 9 codes d'exploits ont pu être identifiés, mais la liste semblerait régulièrement être mise à jour.

Voici un tableau récapitulatif des exploits a priori utilisés par le botnet :

Marque
Modèle
Bulletin de sécurité
Patch
D-Link 850L https://blogs.securiteam.com/index.php/archives/3364 1.14B07 BETAs
DIR-300/600 http://www.s3cur1ty.de/m1adv2013-003 -
GoAhead Wireless IP Camera (P2P) WIFICAM https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html -
JAWS web server Multiple DVR Devices https://www.pentestpartners.com/security-blog/pwning-cctv-cameras/ -
Netgear ReadyNAS Surveillance https://blogs.securiteam.com/index.php/archives/3409 1.4.3-17 (x86)
1.1.4-7 (ARM)
DGN1000 http://seclists.org/bugtraq/2013/Jun/8 1.1.00.48
DGN2200 v1 EOL
Vacron Multiple NVR https://blogs.securiteam.com/index.php/archives/3445 -
Linksys E1500/E2500 http://www.s3cur1ty.de/m1adv2013-004 -
AVTECH Multiple IP camera, NVR, DVR https://github.com/Trietptm-on-Security/AVTECH -

Il n'est cependant pas certain que toutes les vulnérabilités présentes dans l’ensemble des bulletins de sécurité soient exploitées. Par ailleurs, cette liste n'est pas exhaustive. D'autres produits concernés par les mêmes vulnérabilités sont potentiellement impactés également. L'article de Checkpoint répertorie de son côté des marques et produits supplémentaires suite aux résultats remontés par leur étude.


Détection et IOCs

Plusieurs IoCs sont déjà disponibles concernant le botnet :
  • hxxp://cbk99.com:8080/run.lua
  • hxxp://bbk80.com/api/api.php
  • hxxp://103.1.221.40/63ae01/39xjsda.php
  • hxxp://162.211.183.192/down/server.armel
  • hxxp://162.211.183.192/sa
  • hxxp://162.211.183.192/sa5
  • hxxp://162.211.183.192/server.armel
  • hxxp://162.211.183.192/sm
  • hxxp://162.211.183.192/xget
  • hxxp://198.44.241.220:8080/run.lua
  • hxxp://23.234.51.91/control-ARM-LSB
  • hxxp://23.234.51.91/control-MIPS32-MSB
  • hxxp://23.234.51.91/htam5le
  • hxxp://23.234.51.91/htmpbe
  • hxxp://27.102.101.121/down/1506753086
  • hxxp://27.102.101.121/down/1506851514

  • 3182a132ee9ed2280ce02144e974220a
  • 3d680273377b67e6491051abe17759db
  • 41ef6a5c5b2fde1b367685c7b8b3c154
  • 4406bace3030446371df53ebbdc17785
  • 4e2f58ba9a8a2bf47bdc24ee74956c73
  • 596b3167fe0d13e3a0cfea6a53209be4
  • 6587173d571d2a587c144525195daec9
  • 6f91694106bb6d5aaa7a7eac841141d9
  • 704098c8a8a6641a04d25af7406088e1
  • 726d0626f66d5cacfeff36ed954dad70
  • 76be3db77c7eb56825fe60009de2a8f2
  • 95b448bdf6b6c97a33e1d1dbe41678eb
  • 9ad8473148e994981454b3b04370d1ec
  • 9f8e8b62b5adaf9c4b5bdbce6b2b95d1
  • a3401685d8d9c7977180a5c6df2f646a
  • abe79b8e66c623c771acf9e21c162f44
  • b2d4a77244cd4f704b65037baf82d897
  • ca92a3b74a65ce06035fcc280740daf6
  • e9a03dbde09c6b0a83eefc9c295711d7
  • f9ec2427377cbc6afb4a7ff011e0de77
  • fb7c00afe00eeefb5d8a24d524f99370

Il est à noter que le scan de vulnérabilité effectué par IoTroop est peu agressif, ce qui le rend moins facilement détectable par les outils de surveillance.