Un nouvel outil de déni de service : Knight
Date : 11 Juillet 2005
Knight est l'un des derniers outils de déni de service (DoS) rencontré sur Internet (pour mémoire, on peut citer Trinoo, TFN, TFN2K, Stacheldraht,, L1on, Adore, voir l'article "Les Vers sous UNIX du bulletin d'avril 2001 et l’information intéressante CERT-IST/IF-2000.002)..; il tourne sous Windows. Cet outil s’installe sur des systèmes compromis par le cheval de Troie Back Orifice (cf. avis CERT-IST/AV-199.138a) ou sur des systèmes Windows 2000 via une vulnérabilité de IIS (Internet Information Service) (cf. avis CERT-IST/AV-2001.153, CERT-IST/AV-2001.118, CERT-IST/AV-2000.275).
Il a déjà été utilisé pour attaquer (saturer) des serveurs IRC (Internet Relay Chat), notamment ceux de l’herbergeur IRC EFnet.
Knight s’administre à travers un canal IRC et se compose de 2 programmes :
- w.exe qui s’installe en tant service wlogin.exe sur le système compromis. Ce programme n’est rien d’autre qu’une version allégée du cheval de Troie Back Orifice utilisée comme " voie de secours " pour reprendre le contrôle de l’outil.
- windows.exe (ou network.exe) qui est le cœur de programme Knight.
Une fois installé sur le système, Knight se connecte à un canal IRC afin d’attendre ses " ordres ". Cet outil peut être alors utilisé, entre autres, pour saturer des sites (attaques de type SYN Flooding ou UDP Flooding, ..) et pour télécharger des fichiers depuis Internet.
Un des grands dangers de Knight est qu’il ne nécessite pas d’authentification pour être contrôlé. Ainsi, n’importe quelle personne joignant le canal IRC adéquat peut prendre le contrôle de toutes les machines déjà compromises par Knight.
Il existe aussi différentes variantes de Knight utilisant divers canaux IRC pour communiquer.
Selon le CERT/CC, on trouvait déjà au 20/07/01 1500 systèmes compromis par Knight. Il est à noter cependant que cet outil n’a pas de fonctionnalité pour se répandre de manière automatique comme un ver et qu’une action "manuelle" est sûrement à l’origine de la compromission des systèmes.
Le Cert-IST vous recommande donc de maintenir à jour vos systèmes au niveau des correctifs de sécurité et des signatures des logiciels anti-virus (pour éviter l'installation de chevaux de Troie et reconnaître l'arrivée ou la présence de Knight).
Pour plus d’information :
Avis du CERT/CC : http://www.cert.org/advisories/CA-2001-20.html