8 replies to this topic

[Txon]

Salut !

Il n'y a pas longtemps, il était question de différents « botnets » sur Infomars : Botnet Ukrainien, Un réseau zombi de machines sous Mac et ainsi de suite en remontant dans le temps jusqu'à Un fantôme dans le navigateur.

Cette fois c'est d'un « botnet « Torpig » » capturé par les chercheurs de l'UCLA qu'il s'agit.

Victims are infected in drive-by download attacks, an attack which exploits JavaScript errors in the browser. Torpig initially uses the phishing attacks to lure victims to infected Web sites to install malware designed to record keystrokes and steal information on their machines. The botnet then injects modules into the Web browser, which allow it to inspect all the handled data as well as identify and store interesting pieces of information, such as credentials for online accounts and stored passwords. The botnet then updates its C&C server with the newly acquired information about every 20 minutes, the report said.

Les victimes ont fait l'objet d'attaques par « drive by download ». Pour plus d'informations sur les « drive by download » voyez sur Infomars ->ICI et -> LA

Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Chris Kruegel, et Giovanni Vigna ont réussi à prendre possession du réseau de PCs zombies basé sur le rootkit MebRoot qui attaque le "Master Boot Record".

"So far, Torpig has been distributed to its victims as part of Mebroot. Mebroot is a rootkit that takes control of a machine by replacing the system's Master Boot Record (MBR). This allows Mebroot to be executed at boot time, before the operating system is loaded, and to remain undetected by most anti-virus tools," the researchers explained.

Pour plus d'informations sur le "Master Boot Record" et les attaques dont il peut faire l'objet, voir sur Infomars -> ICI et -> LA.

Les chercheurs ont ensuite analysé pendant dix jours son comportement et son contenu.
C'est un « petit botnet » d'à peine 180.000 ordinateurs infectés alors qu'environ 1,2 millions d'adresses IP avaient été contactées. Il avait tout de même permis aux mafieux de récolter environ 70 GO de fichiers et informations. Parmi tout ceci ...

• Plus de 1,2 millions de mots de passe de Windows,
• 11,9 millions de données de formulaires de sites Web.
• Une grande quantité de boites de courrier électronique, les pouvoirs et mots de passe requis pour y accéder et 1,2 millions d'adresses email de correspondants des PCs piégés. De quoi faire donc un assez important distributeur de « spams » et autres messages piégeurs.
• Des numéros de cartes de crédit Visa, MasterCard, American Express, Maestro et Discover. Le pourcentage le plus élevé de cartes de crédit volées vient des Etats-Unis (49%), 12% provenaient d'Italie et 8% d'Espagne.

Après avoir « craqué » le maliciel, les chercheurs ont pu analyser la rotation des adresses IP des « serveurs de commande » sur Internet dont se servent les mafieux pour donner les ordres aux PCs infectés et le devancer afin de le faire tomber dans un serveur piégé.

La France l'a plutôt échappée belle cette fois-ci mais ce n'est que partie remise. A quand un « botnet » dédié essentiellement au piratage de produits protégés par un droit d'auteur quelconque ? Si ça n'existe pas, ça ne saurait tarder.

Pour plus d'informations, voir, en anglais, SC Magazine, vnunet

@+

[Neuromancien]

Merci pour cette info, comme d'habitude c'est très intéressant.

[Txon]

Re ...

Cette fois, c'est un "botnet" d'environ 100.000 PCs qui a été détruit.
Selon l'analyse effectuée par Roman Hüssy et publiée par Jozsef Gegeny sur le blog S21sec, ce réseau de machines zombies aurait été constitué grâce au cheval de Trois "Zeus", un outil qui peut s'acquérir auprès du petit monde "underground" pour environ 700$.

Un "drone" émanant du "serveur de commande" aurait provoqué l'effacement du contenu de la clé HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE\Software and HKEY_LOCAL_MACHINE\System Windows des PCs infectés. Le résultat serait un magnifique BSoD.

Auto-destruction par une bande qui aurait pris peur ou destruction par une bande rivale qui se serait rendu maître du "serveur de commande" ?

« Un grand nombre de cybercriminels qui utilisent le kit Zeus ne sont pas très doués ».

[Txon]

Lu sur ITmag ...

Toujours à propos de Conficker, achevons ce tour d'horizon des vulnérabilités qui piquent avec cette petite étude statistique conduite par Nguyen Tu Quang, le Senior Malware Researcher et CEO de Bkis, société Vietnamienne, qui rappelle qu'il ne faut pas trop écouter les propos de ceux qui annoncent la mort clinique de Conficker. Il y a là dehors un botnet toujours actif de 750 000 zombies, parfaitement capable de se réveiller du jour au lendemain. Les efforts du « Conficker Working Group », qui consistent à tenter de prendre de vitesse le mécanisme d'automatisation de génération de noms de domaines (50 000 par jour) sont totalement vains, estime le patron de Bkis. C'est d'ailleurs en récupérant et en déposant quelques uns de ces noms de domaine que les chercheurs de l'entreprise sont parvenus à dresser une cartographie actualisée de Conficker C.

Le sujet sur Conficker -> ICI.

@+

[Txon]

...

Vend, Bot très peu servi, 400 euros "Vous recherchez un bot, une machine zombie, un petit truc pour pirater The World ? Un site web vous propose des outils allant de 600 à 250 euros."

Le codeur de cette "solution" informatique clairement ciblée "intrusion et espionnage" indique être capable de rajouter des options diverses et variées à la demande des acheteurs "Il suffit de payer" indique-t-il.

--- --- ---

Pour le Peer-to-Peer, le logiciel exploite sans broncher ares, bearshare, imesh, shareaza, kazaa, dcplusplus, emule, emuleplus, limewire. "Le logiciel piégé se répand sur le P2P en exploitant les noms donnés par le warez aux films, logiciels, ... L'outil va sur des sites warez pour en extraire les noms. Une option qui coûte 100 euros de plus". L'outil s'auto sécurise (anti debugger 1 & 2, anubis, TE, sandbox, norman sandbox, sunbelt sandbox, ...)
Côté anonymat, HADOPI n'aura qu'à bien se tenir... Reverse Socks4, Socks4a, Socks5, HTTP socks. Côté DDoS : TCP (SYN) and UDP flood. Pour les administrateurs de sites web mal intentionnés, l'option "augmentation du trafic" fera croire aux régies publicitaires que les visiteurs étaient nombreux sur un site web alors que ce dernier n'aura reçu que le bot et ses fonctions. On vous passe le brute-force, VNC scanning, on-fly wordlist, authbypass, ... Dix-sept versions de cet outil ont déjà été mises en vente. La dernière est sortie le 13 mai.

@+

[Txon]

...

L'hébergeur Mc Colo (Californie) abritait les bots de contrôle de plusieurs réseaux de PC zombies.

Sa fermeture en novembre 2008 a eu un effet considérable sur la diffusion de spams aux Etats-Unis et ailleurs mais beaucoup moins en France.
Depuis, les black hat hackers ont mis les bouchées doubles pour infester des sites et constituer de nouveaux botnets. Selon McAfee (document .pdf), ils auraient réussi à infester 12 millions de nouveaux PCs et auraient ainsi augmenté le nombre des PCs zombies de 50% (*).

Par comparaison les botnets constitués par Gumblar et Confiker font figure de parents pauvres (au moins pour l'instant).

Dès fin mars 2009, la capacité de pollution du Web par des spams perdue à la fermeture de Mc Colo aurait été reconstituée à 70%.
Ces nouveaux zombies seraient situés pour 18% d'entre eux aux USA, 13% en Chine, 6% en Australie, un peu plus de 5% en Allemagne, à peine moins au Royaume Uni etc. Les messages envoyés concerneraient des médicaments soumis à ordonnance (25%) , des contrefaçons, des compensateurs de la dysfonction érectile etc.

@+

(*) Ceci ferait au total 36 millions de PCs zombies. Ce chiffre est très éloigné de l'évaluation de Vincent Cerf qui estimait en 2007 le nombre de ces zombies entre 100 et 150 millions.

[Txon]

...

Facebook un botnet ? Pourquoi pas ?

Un internaute francophone aurait trouvé une faille qui lui permettrait d´accèder aux identifiants de connexion des utilisateurs Français de Facebook. Pour preuve, il nous a communiqué 4.000 comptes.

Il se nomme HatXwhiTe ...

... Facebook est énorme botnet prêt être utiliser pour des piratages plus importants, plus agressifs. Il y a trop d'outils sur Facebook que n'importe qui télécharge. Des outils qui pourront être utilisés dans des actions néfastes.
--- --- ---
Il suffit de placer une application "piégée" populaire pour que les internautes qui ont téléchargé la chose se transforment en soldats numériques sans même le savoir.
--- --- ---
Faut-il faire confiance aux sites web 2.0 aujourd'hui ?
Je pense que non. Il ne faut faire confiance à aucun site de manière générale.

A lire !

@+

[Txon]

...

Rouge ISP Closed Down After Illegal Servers Found By NASA

Selon les autorités américaines, la police fédérale australienne a été alertée au sujet d'un FAI australien qui a été impliqué dans la distribution de millions de messages spam illégaux y compris de la pornographie infantile. L'opérateur voyou a été fermée vendredi dernier.
La Federal Trade Commission américaine a déclaré que le fournisseur de services Internet, Pricewert a été coupable de détenir des "serveurs C&C" de "botnet" et des sites de phishing, de vente en ligne de produits pharmaceutiques illégaux, d'injection de logiciels espions et de chevaux de Troie, de distribution de pornographie juvénile, d'escroquerie basée sur les comptes de messagerie mondiale, y compris en Australie etc.

Pricewert a protesté pour n'avoir pas été informé de ces accusations avant la fermeture etc.

@+

[Txon]

...

Un nouveau botnet ressemblant à Gumblar serait en train de prendre de l'ampleur ...

Websense Security Labs "Threatseeker"™ Network a détecté que la compromission d'un grand nombre de sites Web "légitimes" est actuellement en cours dans le monde entier. Des milliers de sites contiennent du code JavaScript malveillant occulté (obfuscated) difficile à repérer. L'injection de code est conçu pour ressembler à un script "Google Analytics".

Cette attaque massive par injection ne semble pas liée à Gumblar. L'emplacement de l'injection, ainsi que le déchiffrage de code lui-même, semblent indiquer une importante campagne d'injection nouvelle, indépendante.
L'exploit se charge de diverses attaques. Après le succès de l'intrusion, un fichier malveillant est exécuté sur l'ordinateur d'exploitation. Le fichier du maliciel a un très faible taux de détection par les antivirus.

La "charge utile" malveillante envoie les visiteurs des sites infectés vers des serveurs qui analysent leurs PCs. En fonction des résultats, il tente d'exploiter une ou plus parmi 10 différentes vulnérabilités non patchées sur ce PC. S'il n'en existe pas, le serveur ouvre une fenêtre "pop-up" qui prétend que le PC est infecté. C'est une tentative pour inciter la victime à l'installation d'un "rogue". Celui-ci utilise des techniques polymorphiques pour modifier sa signature numérique. Il échappe ainsi à la détection de la grande majorité des antivirus légitimes.

Suivant une estimation de Websense, cette nouvelle attaque aurait déjà infecté environ 60.000 sites.

@+