Botnet

Réseaux botnets mineurs de cryptos : utilisation de reverse proxies

Trading du CoinTrading du Coin

Dans le cyberespace, les botnets avancent masqués.Les exemples ne manquent plus de malwares divers et variés, plus ou moins exotiques, spécifiquement développés pour vous faire miner passivement des cryptomonnaies sans même que vous vous en rendiez compte. Et a priori, la tendance de fond n’est pas au changement.

Keep it cool and just mail me.

Mes excuses par avance pour les approximations qui ne manqueront pas d’être présentes, la faute à une tentative un peu désespérée de vulgariser le principe de fonctionnement de ce réseau botnet. Ma boîte mail est ouverte aux remarques techniques.

360 Netlab alerte sur les reverse proxies

Le laboratoire de recherche en cybersécurité 360 Netlab a mené une étude sur un nouveau type de malware de mining : celui-ci repose sur les reverse proxies.

“Quésaco ?” me direz-vous, et vous aurez bien raison.

Pour résumer, un serveur proxy est un intermédiaire de communication sur le réseau qui reçoit les requêtes pour les transmettre ensuite à l’ordinateur cible. Il sert plus ou moins de serveur intermédiaire pour un ordinateur qui veut accéder à des données à partir d’un autre serveur. Les reverse proxies sont eux en général protégés par un pare-feu dans un réseau interne, une sorte de zone démilitarisée pour un Intranet, pour ainsi dire. Le proxy inverse devient donc la seule passerelle entre Internet et le réseau privé de l’ordinateur ou du réseau d’ordinateurs client. Et c’est là que le bât blesse, dans le cas présent.

Ngrok : le reverse proxy coupable

Botnets

Le botnet identifiée par 360 NetLab se joue en définitive de cette protection supposée pour en faire une faiblesse. Se servant du reverse proxy Ngrok, il se cache en définitive au sein même des fonctionnalités de ce service, qui permet de générer aléatoirement des noms de sous-domaines. Une aubaine pour le botnet qui en profite alors pour se répandre en brouillant les pistes.

Effacer ses traces

A l’aide de Ngrok, encapsulant toutes ses fonctionnalités malignes, le malware n’est généré qu’à partir d’adresses venant de sous-domaines générés aléatoirement par Ngrok, et d’une durée de vie très limitée : le client génère des noms de domaine de type C2 qui ne persistent et ne sont utilisés que 12 heures, avant d’être remplacés par de nouveaux, comme l’illustre le schéma suivant.

Botnet Ngrok

Scanner puis miner incognito

Botnet scanner

Parmi les fonctionnalités sympathiques du botnet, on retrouve un scanner qui recherche des vulnérabilités sur l’ordinateur infecté puis en profite pour installer de quoi miner à votre insu : un joli script de mining CoinHive est alors installé sur votre machine. Vous vous retrouver alors à miner sans le savoir à travers vos navigateurs internet.

Sans surprise, ce sont des Monero (XMR) qui sont minés puis ensuite envoyés à une adresse pour le moment unique, 4AuKPF4vUMcZZywWdrixuAZxaRFt9FPNgcv9v8vBnCtcPkHPxuGqacfPrLeAQWKZpNGTJzxKuKgTCa6LghSCDrEyJ5s7dnW.

D’autres fonctionnalités sous le capot, notamment pour ETH

Pour autant, la fête ne s’arrête pas là, puisqu’est implantée une fonctionnalité permettant de scanner puis dérober des ETH en cas d’utilisation du client geth. Pas de panique à son propos néanmoins, pour l’instant, elle ne semble pas active.

Je vous ai vu ouvrir de grands yeux, détendez-vous, vos ERC-20 se portent bien.

C’est pourquoi je vous évite, à vous comme à moi, le détail technique de cette fonctionnalité.

Les auteurs s’attendent à voir se développer ce genre d’attaques détournées, et sans surprise particulière, d’autant plus dans le Far West cybersécuritaire et embryonnaire que représente le “honeypot” géant de la cryptosphère.

Sources : Cryptovest ; Blog.Netlab.360 || Image from Shutterstock

découvrez nos
solutions de minage

PARTAGER
Grégory Guittard
Bitcoin Maximaliste, Blockchain-sceptique. Je doute très fortement que la sacro-sainte Blockchain qu'on nous vend à tout bout de champ nous sauvera tous, façon délire christique. La perspective d'un moyen de paiement pair-à-pair, décentralisé et non censurable (Bitcoin) est ce qui me semble réellement révolutionnaire dans la cryptosphère. Je disrupte des articles à l'occasion sur mon temps libre, et souvent, aux dépends de vos shitcoins préférés. Je privilégie les sources vérifiables et le cynisme à la neutralité plate, mais je suis ouvert à la discussion : si j'ai écrit une énormité, n'hésitez pas à m'envoyer vos commentaires, remarques ou vos vociférations directement à [email protected]

LAISSER UN COMMENTAIRE

Votre adresse de messagerie ne sera pas publiée.En publiant un commentaire, vous acceptez notre politique de confidentialité.

S'il vous plaît entrez votre commentaire!
Veuillez entrer votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.