Dans l'actualité récente de la cybersécurité, Infoblox Threat Intel a découvert un réseau de zombies compromettant 13 000 appareils MikroTik ! Le réseau de zombies a exploité des vulnérabilités dans la configuration des enregistrements DNS SPF pour contourner les défenses contre le courrier électronique. Après l'exploitation, le réseau de zombies a usurpé environ 20 000 domaines web pour diffuser des logiciels malveillants.
Points clés à retenir
- Un botnet a compromis des milliers d'appareils MikroTik pour lancer des campagnes de malspam.
- L'exploitation s'est produite à la suite de l'utilisation permissive du SPF permissives utilisées par plusieurs domaines.
- Il en est résulté une vaste attaque par usurpation d'identité, avec des pièces jointes chargées de logiciels malveillants.
- Les principaux enseignements tirés sont les suivants : éviter les configurations SPF permissives, vérifier régulièrement les enregistrements DNS et utiliser les services SPF hébergés avec des macros.
Pourquoi les réseaux de zombies constituent-ils une menace persistante ?
Les réseaux de zombies sont un réseau de dispositifs compromis manipulés et contrôlés à distance par des acteurs de la menace. Les botnets constituent depuis longtemps une menace persistante pour la cybersécurité. Ils sont largement distribués, ce qui en fait un vecteur facile de propagation d'activités malveillantes à grande échelle.
Par le passé, les réseaux de zombies ont été à l'origine des actes suivants :
- Déni de service distribué(attaques DDoS)Les attaques par déni de service distribué (DDoS) visent à submerger le réseau d'une cible et à interrompre les services ou à distraire les défenseurs.
- Campagnes de spam et de phishingLes campagnes de spam et de phishing inondent les boîtes de réception d'e-mails malveillants afin de voler des informations sensibles ou de propager des logiciels malveillants.
- Remplissage d'informations d'identification (Credential Stuffing) pour automatiser les tentatives de connexion à l'aide d'informations d'identification volées.
- Vol de données qui extrait des données personnelles ou d'entreprise à des fins lucratives ou pour mener d'autres attaques.
- CryptojackingLe cryptojacking consiste à détourner les ressources d'un appareil pour extraire de la crypto-monnaie.
- Réseaux proxy et fraude au clicLa fraude au clic est le fait de masquer la localisation des attaquants et d'escroquer les annonceurs.
Dans la récente campagne de spam malveillant découverte par Infoblox, les botnets ont utilisé plus de 13 000 routeurs MikroTik compromis. Il s'agit d'une préoccupation croissante pour le secteur de la cybersécurité.
Anatomie d'une campagne de logiciels malveillants
Spam sur les factures de fret
Fin novembre 2024, la campagne a commencé lorsqu'Infoblox a découvert une campagne de spam de factures. Des courriels de spam ont été envoyés, se faisant passer pour des factures d'expédition de DHL, avec des fichiers ZIP contenant des charges utiles JavaScript malveillantes. Les pièces jointes pièces jointes ZIP présentaient des conventions de dénomination cohérentes telles que :
- Facture (numéro à 2-3 chiffres).zip
- Suivi (numéro à 2-3 chiffres).zip
Analyse de la charge utile
Les fichiers ZIP, également appelés fichiers JavaScript, exécutaient des scripts Powershell. Ceux-ci se connectaient à un serveur de commande et de contrôle (C2) de logiciels malveillants hébergé à une adresse IP suspecte. Cette adresse IP avait déjà fait l'objet d'activités malveillantes sur le web. Le botnet a ainsi créé un réseau qui a initié une chaîne de distribution de chevaux de Troie malveillants.
Comment les routeurs MikroTik ont-ils été compromis ?
Selon l'enquête d'Infoblox, plus de 13 000 routeurs MikroTik ont été détournés par le botnet. Ces routeurs étaient configurés comme des proxys SOCKS. Cela a permis de masquer leur origine et de les rendre non identifiables.
Les routeurs MikroTik étaient une cible facile pour le botnet en raison de leurs vulnérabilités critiques inhérentes :
- Les routeurs présentent une faille d'exécution de code à distance qui est facilement exploitable avec un accès authentifié.
- Le déploiement de mandataires SOCK a permis aux acteurs de la menace de dissimuler leur identité d'origine.
- Plusieurs appareils ont été livrés avec des comptes "admin" par défaut, contenant des mots de passe vierges.
Rôle des mauvaises configurations de SPF dans la mise en œuvre de la campagne de courrier indésirable
Les serveurs de messagerie qui reçoivent les messages authentifient la légitimité des expéditeurs par le biais d'enregistrements DNS TXT. L'enregistrement SPF (Sender Policy Framework) en est un exemple. Cependant, les enregistrements SPF permissifs dans des milliers de domaines d'envoi ont fourni la faille dont les attaquants avaient besoin pour contourner les contrôles d'authentification.
Exemple d'enregistrements SPF mal configurés
Voici un exemple d'enregistrement SPF non permissif :
v=spf1 include:example.domain.com -all
L'exemple ci-dessus permet uniquement aux serveurs spécifiés d'envoyer des courriels au nom d'un domaine. Les domaines qui ne sont pas explicitement autorisés échoueront à SPF.
Voici un exemple d'enregistrement SPF permissif :
v=spf1 include:example.domain.com +all
L'exemple ci-dessus permet à n'importe quel serveur d'envoyer des courriels au nom d'un domaine, ce qui permet l'usurpation d'identité. Infloblox a identifié l'utilisation de configurations SPF permissives comme celles-ci pour lancer les campagnes malveillantes.
Vérifier la configuration de SPF pour prévenir l'exploitation
Vous pouvez vérifier les configurations SPF de votre domaine en utilisant l'une des méthodes suivantes :
Recherches manuelles
Les propriétaires de domaines peuvent consulter les enregistrements SPF à l'aide des commandes NSlookup ou Dig :
- Sous Linux/MacOS : dig +short txt example.com | grep spf
- Sous Windows : nslookup -type=txt example.com | Select-String -Pattern "spf"
Recherches automatiques
Un moyen plus simple de vérifier vos configurations SPF DNS est d'utiliser l'outil PowerDMARC outil de vérification SPF de PowerDMARC.
- Entrez votre nom de domaine dans la boîte à outils (par exemple domain.com)
- Cliquez sur le bouton "Recherche".
- Examinez vos résultats
C'est aussi simple que cela ! Il s'agit d'un moyen simple et instantané de vérifier le SPF sans exécuter de script ou de commande Powershell et qui ne nécessite aucune connaissance technique.
Note de fin : leçons tirées de l'expérience
La capacité du botnet à exploiter les vulnérabilités du DNS en lançant des attaques sophistiquées d'usurpation d'identité souligne la nécessité de suivre les meilleures pratiques en matière de sécurité du courrier électronique:
- Les propriétaires de domaines doivent régulièrement vérifier les enregistrements DNS afin de s'assurer que les messages sont bien envoyés. SPF, DKIM et DMARC appropriées.
- Les propriétaires de domaines doivent s'abstenir d'utiliser des politiques SPF ou DMARC pendant de longues périodes.
- Supprimer ou sécuriser les comptes administrateurs par défaut sur les appareils.
- Activer le rapport DMARC pour surveiller le trafic de courrier électronique et détecter les accès non autorisés.
- Plus important encore, utilisez les services d'optimisation des macros SPF tels que Hosted SPF pour corriger les erreurs et les faiblesses du SPF, et respecter facilement les limites de la recherche DNS du SPF.
La découverte d'exploits de botnet MikroTik témoigne de l'inquiétude croissante que suscitent les cyberattaques sophistiquées. Pour rester protégées, les entreprises doivent mettre à jour leur pile de sécurité afin d'ouvrir la voie à des technologies de cybersécurité modernes, soutenues par l'IA. Cela leur permettra de naviguer dans le paysage des menaces de manière transparente tout en restant indemnes.