Posté le juin 15, 2023 à 6:12
UN GROUPE DE HACKERS AFFILIÉ À LA CHINE, CHAMELGANG, EXPLOITE LES COMMUNICATIONS DNS-OVER-HTTPS
ChamelGang, un groupe d’acteurs de la menace affilié à la Chine, a infecté des appareils Linux avec un implant inconnu jusqu’à présent, connu sous le nom de « ChamelDoH ». Cet implant prend en charge les communications DNS-over-HTTPS avec les serveurs appartenant aux attaquants.
Des hackers Chinois exploitent les communications DNS-over-HTTPS.
L’acteur de la menace derrière cet exploit a été découvert pour la première fois en septembre 2021 par Positive Technologies. Toutefois, les recherches que Positive Technologies a menées se sont uniquement concentrées sur la boîte à outils Windows et n’ont pas eu d’effet massif.
Stairwell a publié un rapport détaillant les activités de piratage. Le rapport décrit un nouvel implant Linux écrit dans le langage de programmation C++ qui élargit l’arsenal d’intrusion du hacker et montre clairement les indicateurs de compromission utilisés par ces attaquants.
Le lien entre ChamelGang et le nouveau logiciel malveillant Linux dépend d’un domaine qui a été précédemment lié à l’acteur de la menace et d’une fonction d’élévation des privilèges sur mesure qui a été détectée par Positive Technologies dans les campagnes de piratage antérieures qui ont été menées par ChamelGang.
Des hackers ont exploité le protocole DNS-over-HTTPs pour la communication de logiciels malveillants
Le protocole du système de noms de domaine (DNS) est utilisé par les logiciels et les systèmes d’exploitation pour installer des noms d’hôtes lisibles par l’homme dans les adresses IP. Ces noms d’hôtes sont ensuite utilisés pour créer des connexions réseau.
Les requêtes DNS envoyées aux attaquants ne sont généralement pas cryptées et sont en texte clair. Ces requêtes DNS permettent aux fournisseurs d’accès à Internet (FAI), aux organisations et à d’autres de surveiller les demandes DNS.
Les requêtes DNS non cryptées sont généralement considérées comme un risque pour la vie privée et permettent aux gouvernements de censurer l’internet. Afin de résoudre ce problème, un protocole DNS connu sous le nom de DNS-over-HTTPS a été créé pour crypter les requêtes DNS afin de s’assurer que les gouvernements ne puissent pas les espionner.
Cependant, le cryptage de ces requêtes DNS est une arme à double tranchant, et il est possible que des logiciels malveillants l’exploitent comme un canal de communication efficace. Le processus rend difficile la surveillance des communications réseau malveillantes par les logiciels de sécurité.
Dans le cas de ChamelDoH, le DNS-over-HTTPS offre une communication cryptée entre l’appareil infecté et le serveur de commande et de contrôle. Les requêtes malveillantes sont donc différentes du trafic HTTPS normal.
DOH peut en outre être utilisé pour contourner les serveurs DNS locaux par le biais de serveurs compatibles avec DoH. Ces serveurs étaient proposés par des organisations réputées, ce qui n’a pas été observé dans le cas récent.
Les requêtes DNS s’appuient sur des serveurs DoH légitimes de Cloudflare et de Google. Le processus de blocage de ces serveurs est généralement impossible et n’a aucun effet sur le trafic légitime.
ChamelDoH déploie par ailleurs deux clés qui existent dans la configuration JSON, connues sous le nom de « ns_record » et « doh ». Ces clés sont déployées pour obtenir les noms d’hôtes C2 et une liste des fournisseurs légitimes de services cloud DoH qui peuvent être exploités après avoir effectué des requêtes DoH.
Les communications effectuées par ce logiciel malveillant ont été chiffrées avec l’AES128, et elles sont également accompagnées d’un codage base64 modifié avec des substituts pour les caractères non alphanumériques. Les données transmises par ce logiciel malveillant sont ensuite incluses sous forme de noms d’hôtes dans les serveurs de commande et de contrôle du logiciel malveillant.
Cette modification permet au logiciel malveillant d’émettre des requêtes TXT pour les domaines qui ont encodé les communications des serveurs de commande et de contrôle. Elle dissimule également la nature des requêtes tout en réduisant le risque de détection des activités de piratage.
Selon Bleeping Computer, lorsqu’on crée une requête pour l’enregistrement TXT, la requête DoH du logiciel malveillant sera activée, et elle utilisera <encoded_data>.ns2.spezialsec[.].com. Le serveur de noms malveillant qui obtient la requête extraira et décryptera ultérieurement la partie codée. Il recevra les données exfiltrées de l’appareil infecté.
Le serveur C2 répondra à la requête par un enregistrement TXT codé contenant les commandes que le logiciel malveillant doit exécuter sur l’appareil infecté. Une fois l’exécution terminée, le logiciel malveillant recueille les données de base sur l’hôte, telles que le nom, l’adresse IP, l’architecture du processeur et la version du système, afin de créer un identifiant unique.
Les chercheurs de Stairwell ont détecté que ChamelDoH prenait en charge un large éventail de commandes pouvant être émises par ses opérateurs à distance par le biais des enregistrements TXT. Ces commandes sont reçues par le biais de requêtes DNS-over-HTTPs.
L’analyse de Stairwell montre également que ChamelDoH a été initialement téléchargé sur VirusTotal en décembre de l’année dernière. Les moteurs AV de la plateforme n’ont pas encore signalé ce logiciel malveillant comme étant malveillant, exposant ainsi davantage d’internautes à des exploits.
