Accueil Cybersécurité DarkSky, un botnet de plus en plus populaire

DarkSky, un botnet de plus en plus populaire

Darksky

L’équipe de détection des menaces de Radware a récemment découvert un nouveau botnet baptisé DarkSky.

Celui-ci dispose de plusieurs mécanismes d’évasion, d’un téléchargeur de malwares et de plusieurs vecteurs d’attaques DDoS en réseau et en couche applicative. Ce bot est maintenant disponible à la vente pour moins de 20 $ sur le Darknet.

Ce malware est capable de fonctionner sous Windows XP/7/8/10, à la fois sous les versions x32 et x64, et possède des capacités « anti-machines virtuelles » virtuelle » afin d’échapper aux contrôles de sécurité tels qu’une sandbox, ce qui lui permet de n’infecter que les « vraies » machines.

Radware surveille ce malware depuis ses premières versions en mai 2017. Les développeurs ont amélioré ses fonctionnalités et ont publié sa dernière version en décembre 2017. Sa popularité et son utilisation sont en pleine expansion, affirme le spécialiste.

A gauche, la version de mai, à droite celle de décembre

Le jour du Nouvel An, Radware a été témoin d’un pic dans les différentes variantes du malware. Ce qu’il soupçonne être le résultat d’une augmentation des ventes ou des tests de la nouvelle version après son lancement. Cependant, toutes les demandes de communication concernaient le même hôte (« http://injbot.net/ »), ce qui laisse plutôt penser à des échantillons de test.

Le malware est capable d’effectuer des attaques DDoS en utilisant plusieurs vecteurs : DNS Amplification, TCP (SYN) Flood, UDP Flood, HTTP Flood. Le serveur dispose également d’une fonction pour vérifier si l’attaque DDoS a réussi.

Darksky
Le centre de commandes

Le logiciel est capable de télécharger des fichiers malveillants à partir d’un serveur distant et d’exécuter les fichiers téléchargés sur la machine infectée. Après avoir examiné les fichiers téléchargés de différents botnets, Radware a remarqué une activité liée à la crypto-monnaie avec la présence de mineurs de cybermonnaie.

Le malware s’installe rapidement et silencieusement. Pour assurer sa persistance sur la machine infectée, il crée soit une clé dans le registre soit un nouveau service  :
1 HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Registry Driver
2.HKLM\System\CurrentControlSet\Services\Icon Codec Service\