TDL-4 : le botnet le plus coriace jamais créé

Grâce à des algorithmes de chiffrement protégeant le flux entre ordinateurs zombies et serveurs de contrôle, les créateurs de TDL-4 ont enfanté un monstre. Plusieurs millions de postes ont été infectés en 3 mois.

En décapitant Coreflood en avril dernier, le FBI avait gagné une bataille contre les botnets, mais assurément pas la guerre.

Le botnet TDL-4 qui s'étend via des rogues. Des fausses alertes de sécurité qui prétendent éradiquer un virus imaginaire détecté sur le terminal, et disséminées sur des sites Web pornographiques, proposant des contenus piratés ou du stockage en ligne. Le réseau a déjà infecté 4,5 millions de postes de travail sur les trois premiers moins de l'année selon Kaspersky.

"Les créateurs de TDL se sont efforcé à mettre au point un botnet indestructible, protégé contre les attaques, ses concurrents et les éditeurs d'antivirus", indiquent les chercheurs de Kaspersky Labs Sergey Golovanov and Igor Soumenkov.

Connu des experts depuis des années, les botnets forment des réseaux d'ordinateurs infectés appelés également zombies, contrôlés à distance et servant le plus souvent de relais pour la diffusion de pourriels (spam, phishing...) quand ils ne sont pas infectés par des logiciels malicieux visant à subtiliser les identifiants et mots de passe des utilisateurs pour accéder, entre autres, à leur compte bancaire en ligne.

TDL/TDSS créé en 2008 a depuis été largement amélioré pour résister aux antivirus, analyses heuristiques et mécanismes de détection proactive


Le botnet TDL-4, qui exploite des vulnérabilités Windows qui avaient également été exploitées par le ver Stuxnet, s'avère cependant plus pernicieux et sophistiqué que bien d'autres botnets. Le malware TDL, pièce logicielle maîtresse sur laquelle le réseau a pu se former, est pourtant loin d'être inconnu au bataillon, sa première apparition remontant à 2008.


En 2010, la génération TDL-3 a fait son apparition et contenait alors des modules d'un ancien programme malicieux, SHIZ. Mais depuis, il a subi de nombreuses modifications pour aujourd'hui atteindre une dangereuse maturité.

TDL-4 est en effet un bootkit, ce qui signifie qu'il infecte la MBR (Master Boot Record) chargé directement par le BIOS, dans le but de se lancer automatiquement et de s'assurer ainsi que le code malicieux qu'il contient puisse infecter le poste de travail avant même le démarrage du système d'exploitation.

 

Un nouvel algorithme de chiffrement basé sur Xor swap et non plus RC4


 

Mais ce n'est pas tout. Le code malicieux TDSS qui dispose également d'un puissant composant (de type rootkit) qui lui permet de détecter la présence de n'importe quel autre malware déjà présent sur le poste de travail sur lequel il se trouve. En détruisant ses pairs (plus d'une vingtaine en tout dont Gbot, ZeuS, Clishmic, Optima...), TDL-4 s'assure ainsi la complète et totale domination du poste de travail infecté et fait chuter la probabilité de découverte d'un autre malware et donc d'attaques de la part des logiciels d'antivirus.

Pour couronner le tout, les pirates à l'origine de TDL-4 utilisent également un nouvel algorithme de chiffrement complexes utilisés pour protéger le protocole de communication entre les ordinateurs infectés et le centre de commande du botnet et ses serveurs de contrôle. Ainsi, RC4 a été mis au placard au profit d'un algorithme maison basé sur Xor swap. Ce qui rend la tâche difficile pour remonter jusqu'aux pirates qui passent par de multiples réseaux point-à-point, utilisent un module de serveur proxy et supportent les systèmes 64bits.

Selon Kaspersky, les opérateurs de sites toucheraient, toutes les 1 000 nouvelles machines infectées, entre 20 et 200 dollars des pirates à l'origine de TDL-4. Par ailleurs, 28% des PC infectés seraient situés aux Etats-Unis, contre 7% en Inde, 5% en Grande-Bretagne et 3% pour chacun des pays suivants : France, Allemagne, Mexique et Canada.  

Serveurs / Chiffrement