Détails sur le premier botnet sous Mac OS X

Vous avez peut-être vu passer la nouvelle de la découverte d’un botnet, un réseau d’ordinateurs qui peut recevoir des commandes de l’extérieur et participer malgré eux à des actes illicites, où une très grande majorité d’entre eux sont des ordinateurs sous Mac OS X que nous croyons à l’abri de tels maux de tête!

Qu’est-ce que c’est?

Un botnet est un réseau d’ordinateur connecté à Internet qui répondent à des commandes, des ordres, d’une entité qui utilisera cette flotte généralement à des fins malicieux comme lancé une attaque par déni de service (DDoS) sur un site web. Habituellement il faut installer un logiciel douteux et le logiciel malicieux s’installera avec. Il pourra ensuite obtenir des fonctionnalités supplémentaires ainsi que des ordres d’un ou plusieurs sites web.

Dans le cas de notre botnet sous Mac OS X, FlashFake de son petit nom, le trojan s’est déguisée comme une mise à jour du plugiciel Flash, et c’est pourquoi autant de gens l’ont installé. Il reçoit ensuite des ordres et des fonctionnalités de site webs généré selon un algorithme très complexe. On ne peut donc pas simplement tuer un nom de domaine et bloquer les ordres. Le nom de domaine qui est cherché est défini selon la date du jour ainsi qu’un algorithme complexe qui utilise plusieurs variables cryptées en utilisant l’identifiant unique de la machine (UDID) en utilisant un chiffrement RC4. Il existe aujourd’hui une variante nommée Trojan-Downloader.OSX.Flashfake.ab.

Investigation technique

Pour découvrir le nombre de machines infectées, les analystes de Kapersky ont réussi à rétroingénier (reverse-engineering) l’algorithme et à déduire un nom de serveur qui sera utilisé à une date ultérieure. Ils ont déduit que le serveur serait krymbrjasnof.com Ils ont donc acheter ce domaine et ils l’ont placé sous surveillance pour le jour J.

En seulement 24 heures, plus de 600,000 ordinateurs distincts ont tenté de communiquer avec ledit domaine en espérant recevoir des ordres. Plus de 50% des ordinateurs proviennent des États-Unis, soit presque 301,000. Un peu plus de 94,000 du Canada et presque 8,000 de la France.

En utilisant le user-agent des connexions, ils n’ont pu déduire la plateforme, car il est statique et ressemble à ceci:

“Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1; sv:2; id:9D66B9CD-0000-5BCF-0000-000004BD266A) Gecko/20100101 Firefox/9.0.1″

Ils ont dû analyser les paquets transmis et déduis la plateforme à l’aide d’une technique appelée prise d’empreinte de la pile TCP/IP. Ce n’est pas une technique fiable à 100%, mais cela permet d’obtenir un ordre de grandeur des plateformes. On parle ici d’environ 98.41% qui proviennent de Mac OS X!

Voici un graphique de l’infestation mondiale:

Mise à jour: Pour voir si vous êtes infecté, c’est très simple!

1) Obtenez votre UDID dans À propos de ce Mac / Rapport système

2) Entrez-le sur le site http://flashbackcheck.com/ de Kapersky (site fiable) pour savoir si votre Mac parle avec un des serveurs fantômes mis sur pied par Kapersky pour obtenir ses données.

Via Secure list