Akamai Technologies publie une alerte de cybersécurité faisant état d'une menace révélée par son pôle SIRT (Security Intelligence Response Team). Des pirates informatiques ont créé un botnet capable de mener des campagnes d'attaques par déni de service distribué (DDoS) à plus de 150 Gbit/s au moyen du malware XOR DDoS, un cheval de Troie servant à détourner des systèmes sous Linux. Un document décrivant en détail cette menace peut être téléchargé à cette adresse http://www.stateoftheinternet.com/xorddos.  

Akamai explique que le malware XOR DDoS est un cheval de Troie qui infecte les systèmes Linux, en leur demandant  de lancer des attaques DDoS sur demande, pilotées par un pirate à distance. Au départ, le pirate s'empare d'une machine Linux via des attaques par force brute pour découvrir le mot de passe donnant accès aux services SSH (Secure Shell). Une fois cet identifiant obtenu, il se sert des privilèges « root » pour exécuter un script shell Bash qui télécharge et lance le binaire malveillant.

« En un an, le botnetXOR DDoSs'est perfectionné et peut désormais être utilisé pour lancer de gigantesques attaques DDoS », souligne Stuart Scholly, vice-président et directeur général de la division Sécurité d'Akamai. « XOR DDoSillustre parfaitement le changement de tactique despirates qui créent des botnetsà partir de systèmes Linux infectés pour lancer des attaques DDoS. Ce phénomène se produit beaucoup plus fréquemment qu'auparavant, lorsque les machines sous Windows étaient les principales cibles des malwares DDoS. »

Attaques par déni de service XOR DDoS

Les travaux du pôle SIRT d'Akamai ont établi que la bande passante des attaques DDoS, déclenchées par le réseau de machines zombies XOR DDoS, était variable, se situant entre moins de 10 Gbit/s et plus de 150 Gbit/s, soit un volume d'attaques extrêmement conséquent. Le secteur des jeux a été le plus souvent ciblé, talonné par l'éducation. Ce botnet attaque jusqu'à 20 cibles par jour, situées pour 90 % d'entre elles en Asie. Le profil de plusieurs des attaques de sa provenance, neutralisées par Akamai, correspond à celles documentées en date des 22 et 23 août dans l'avis. L'une d'elles a frôlé 179 Gbit/s, tandis que l'autre avoisinait 109 Gbit/s. Deux vecteurs d'attaques ont été observés : SYN- et DNS-floods. 

Si l'adresse IP du bot est parfois usurpée, elle ne l'est pas systématiquement. Les attaques observées dans le cadre des campagnes DDoS menées à l'encontre des clients d'Akamai, étaient un mélange de trafic usurpé et non-usurpé. Les adresses IP usurpées sont générées de façon à ce qu'elles semblent émaner du même espace d'adressage (blocs /24 ou /16) que celles de l'hôte infecté. Une technique d'usurpation, consistant à modifier uniquement le troisième ou le quatrième octet de l'adresse IP, empêche les fournisseurs d'accès à Internet (FAI) de bloquer le trafic usurpé sur les réseaux protégés par le mécanisme uRPF (Unicast Reverse PathForwarding) de vérification du chemin inverse.

Neutralisation des attaques XOR DDoS

Des caractéristiques statiques identifiables ont été observées, notamment la valeur TTL de départ, la taille de fenêtre TCP et les options d'en-tête TCP. Ces signatures de charge utile peuvent contribuer à la neutralisation des attaques par déni de service distribué. Elles sont consultables dans l'avis d'alerte. Par ailleurs, des filtres tcpdump sont prévus pour faire face au trafic d'attaques SYN-flood généré par ce botnet.

Détection et éradication du malware XOR DDoS

La présence du botnet XOR DDoS peut être détectée de deux manières, précise encore Akamai. Sur un réseau, il faut repérer les communications entre un bot, ou zombie, et son canal de commande et contrôle (C2) en faisant appel à la règle Snort exposée dans l'avis. Sur un hôte Linux, il faut se servir de la règle YARA qui opère une mise en correspondance des chaînes relevées dans le binaire.

Le malware XOR DDoS est persistant : il exécute des processus qui réinstalleront les fichiers malveillants même s'ils sont supprimés.