Le réseau Tor utilisé par un botnet

Le par Jérôme G.  |  5 commentaire(s)
GData-botnet-tor

Les chercheurs en sécurité de G Data ont mis au jour un botnet qui a recours au réseau d'anonymisation Tor afin de dissimuler son trafic de commande et contrôle.

Les bergers ( ou propriétaires ) de botnets ont pour problématique de protéger au mieux le trafic de données qui leur permet d'envoyer des ordres aux ordinateurs devenus des zombies après une infection et qui passent sous leur contrôle.

Ce trafic de commande et contrôle passe généralement par un serveur central ou des réseaux P2P spécialement conçus. Des chercheurs en sécurité de G Data ont mis au jour une chaîne de commandes qui transite par le réseau Tor.

Le célèbre réseau avec son routage en oignon est d'habitude surtout connu pour offrir un certain anonymat sur Internet et permettre de passer outre le blocage de sites Web dans divers pays.

Outre cette spécificité liée à Tor, le botnet découvert par G Data n'a toutefois rien de particulier avec plusieurs possibilités comme les attaques par déni de service distribué, le téléchargement et l'exécution d'autres malwares.

GData-botnet-torSur Tor, les créateurs du botnet ont mis en place un serveur IRC ( Internet Relay Chat ) en tant que service caché et qui sert donc de commande et contrôle.

Pour les chercheurs, cette approche offre plusieurs avantages comme l'anonymat du serveur, un blocage difficile par les autorités, le chiffrement du trafic par Tor. Mais elle a aussi des inconvénients à l'instar des malwares transitant par le service caché qui sont sujets aux latences du réseau Tor.

En outre, " alors que ce trafic ajoute beaucoup de sécurité pour la communication du botnet, le malware lui-même peut être bloqué par un antivirus en utilisant une détection par signature et analyse comportementale ".

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
patheticcockroach offline Hors ligne VIP avatar 7868 points
Le #1020812
Ca serait gentil de la part des opérateurs de ce botnet de bien vouloir transformer une petite proportion de leurs zombies en noeuds de sortie
Nerthazrim offline Hors ligne Vénéré icone 4333 points
Le #1020842
Associée à Flame/Stuxnet/Duqu et autres ... La complexité croissante des malwares/réseaux de botnets/suceurs de data fait vraiment peur, à la limite de l'alarmant ...
Kiloo offline Hors ligne Vétéran avatar 1069 points
Le #1020852
J'ai du mal à voir quel type de botnet trouve avantage à utiliser Tor pour l'ensemble de son réseau. A la limite pour une partie ça permet de remonter plus difficilement au serveur. Mais pour le reste on perd largement en latence.

Sans être "complotiste" est-ce qu'on ne pourrait pas imaginer qu'il s'agit d'un moyen de décrédibiliser ou porter atteinte au réseau...
micropastis offline Hors ligne VIP icone 11412 points
Le #1020942
Peut être un peu les deux. ou simplement un truc gouvernemental.......
Ulysse2K offline Hors ligne VIP icone 50703 points
Le #1020952
Kiloo a écrit :

J'ai du mal à voir quel type de botnet trouve avantage à utiliser Tor pour l'ensemble de son réseau. A la limite pour une partie ça permet de remonter plus difficilement au serveur. Mais pour le reste on perd largement en latence.

Sans être "complotiste" est-ce qu'on ne pourrait pas imaginer qu'il s'agit d'un moyen de décrédibiliser ou porter atteinte au réseau...


Un botnet n'a pas des requêtes aussi fréquentes qu'un navigateur (pour l'exemple). Il ne doit envoyer que quelques commandes et donc la bande passante nécessaire peut être très petite. Tor est viable pour un navigateur, donc cela représente une autoroute à 4 bandes pour un skateboard (le botnet) Par contre la dislocation de son serveur va s'avérer nettement plus difficile.
icone Suivre les commentaires
Poster un commentaire