L’équipe de recherche IoT d’Avira a récemment identifié une nouvelle variante du botnet Mirai cette nouvelle version porte le nom de Katana, d’après le sabre japonais. Bien que ce botnet soit encore en développement, il dispose déjà de modules tels qu’un outil pour une attaque DDoS de couche 7, des chiffrements différents suivant le lieu d’origine, une autoréplication rapide et une connexion sécurisée au serveur Command and Control (C&C). Certains indices laissent à penser que Katana pourrait à l’avenir être associé à un botnet de banque en ligne HTTP.
Dès juin, le Laboratoire de protection Avira rapportait comment le botnet IoT Mirai avait évolué depuis la publication de son code source en 2017. Une analyse actuelle d’Avira sur les attaques IoT et les tendances des logiciels malveillants montre que Mirai évolue constamment. D’autres variantes de Mirai sont également fréquemment promues par des chaînes YouTube, dans le cas présent sur la chaîne VegaSec. Son accès facile et des modifications supplémentaires permettent même à des pirates amateurs de créer des botnets malveillants, ce qui pourrait entraîner une constante augmentation des attaques IoT par botnet.
Ces deux dernières semaines, Avira a saisi à l’aide d’un honeypot une vague de fichiers binaires de logiciels malveillants jusque-là inconnus. L’équipe d’Avira a découvert qu’en introduisant des codes à distance et des injections de code, le botnet Katana tente d’exploiter de vieilles failles de sécurité sur les anciens routeurs Linksys et GPON. Bien que Katana utilise de vieilles attaques ce qui laisse supposer à Avira que le botnet est toujours en phase de test et de développement, il a toutefois éveillé l’attention de l’équipe de recherche IoT pour les raisons suivantes :
Katana infecte chaque jour des centaines d’appareils ;
Il possède des fonctions classiques de Mirai, comme un nom de processus aléatoire ou un chien de garde ;
Comme Mirai, il propose différentes commandes DDoS, comme « attack_app_http » ou « attack_get_opt_int ».
Katana est téléchargé par différentes adresses IP dans une période donnée. Les données d’Avira prouvent que le processus de téléchargement fonctionne. En liant différent ports, le botnet IoT Katana est exécuté comme une instance unique.
Des détails supplémentaires sur Katana, notamment sur la liaison au port, sont disponibles sur le blog Avira : http://www.avira.com/fr/blog/katana...
« Katana possède plusieurs caractéristiques de Mirai, parmi lesquelles l’exécution d’une instance unique, un nom de processus aléatoire, l’utilisation de chiens de garde pour éviter un redémarrage des appareils, ainsi que des commandes DDoS », explique Alexander Vukcevic, directeur du Laboratoire de protection d’Avira. « Ce qui pose problème avec les nouvelles variantes de Mirai telles que Katana, c’est qu’elles sont proposées sur le Darknet ou sur des sites normaux comme YouTube, ce qui permet à des cybercriminels amateurs de créer leurs propres botnets. » Alexander Vukcevic, Director Protection Labs & QA d’Avira