Courant Décembre, une opération massive impliquant Microsoft, Eset, Coordinated Malware Eradication (CME) visant des botnets du Trojan Gamarue a eu lieu.
Voici les statistiques de l'opération :
- 1,214 domaines et IP utilisés comme C&C pour les botnets
- 464 botnets distincts
- plus de 80 familles de malwares sont associés à ces botnets
Présentation du malware et opération contre Gamarue
Le malware Andromeda se présente sous la forme d'un kit vendu dans le milieu underground sous la forme :
- Bot-builder : permet de créer le binaire malveillant et d'infecter les ordinateurs
- Command-and-control application (C&C) : sous la forme d'un site en PHP qui permet de gérer le botnet et contrôler les ordinateurs infectés. Un aperçu de ce dernier est disponible sur la page suivante : https://www.malekal.com/?p=10641
- Documentation pour créer son botnet
Il s'agit d'un malware utilisant des injections de processus comme wuauclt.exe, wupgrade.exe, svchost.exe (version 2.06) ou encore msiexec.exe (Gamarue versions 2.07 à 2.10).
Le cheval de troie est aussi connu pour désactier le pare-feu de Windows ainsi que Windows Update afin d'affaiblir l'ordinateur infecté.
Gamarue comme la plupart des cheval de troie évolué est modulaire, à partir de plugins que l'on peut acheter, vous pouvez étendre les fonctionnalités du trojan.
On trouve ainsi les plugins suivants :
- Keylogger ($150) – pour enregistgrer les frappes claviers et récupérer des mots de passe, compte internet et autres.
- Rootkit – permet de cacher le processus du malware pour permettre une meilleure persistence.
- Socks4/5 – l'ordinateur infecté agit comme un proxy ce qui peut permettre à d'autres pirates de cacher sur internet en utilisant ce dernier. Cette activité peut servir pour monétiser le botnet.
- Formgrabber ($250) – Capture les données des formulaires à partir des navigateurs internet envoyées aux serveurs (fonctionnalité de Trojan Stealer)
- Teamviewer ($250) – l'ordinateur peut-être contrôlé à distance : capture d'écran, bouger la souris, envoyer/supprimer des fichiers etc.
- Spreader – Donne la possibilité aux malware de se propager via les médias amovibles : Virus par clé USB
Outre les méthodes citées ci-dessus, les botnet Gamarue peuvet être monétiser pour installer d'autres malwares.
80 familles de malwares différentes ont été ainsi installeés, parmi elles
- Petya (ransomware)
- Cerber (ransomware)
- Troldesh (ransomware)
- Ursnif (info-stealing and banking trojan)
- Carberp (info-stealing and banking trojan)
- Fareit (info-stealing and DDoS malware)
- Kasidet (worm and DDoS malware)
- Lethic (spam bot)
- Cutwail (spam bot)
- Neurevt (click-fraud malware)
- Ursnif (click-fraud malware)
- Fynloski (backdoor)
- Petya et le ransomware Cerber
- Kasidet malware (aka Neutrino bot), qui est utilisé pour lancer des attaques DDoS
- Lethic, un spam bot
- D'autres trojans stealer et Trojan Banker comme Ursnif, Carberp, and Fareit, among others
Les méthodes de propagation de ce cheval de troie, on retrouve les méthodes classiques comme :
- Attaque les médias amovibles : Virus par clé USB
- Capable d'attaquer les réseaux sociaux (comme Facebook), des messages incluant des liens vers le Trojan Gamarue sont envoyés pour infecter de nouveaux internautes.
- peut être propager par des exploits WEB
- Des emails malveillants
- Trojan downloaders
Informations et répartitions des botnets Gamarue
Un malware encore très actif.
Durant les six derniers mois, le trojan Gamarue a été détecté sur environ 1,095,457 machines chaque mois. Côté répartition géographique, l'inde, l'indonésie et la turquie sont les plus visés.
L'Asie arrive donc loin devant sur les pays visés. source : https://blogs.technet.microsoft.com/mmp ... andromeda/