L'ICANN offr-t'il un outil aux cybercriminels?

La décision de l’ICANN d’autoriser les entreprises privées à créer et gérer leur propre nom de domaine pourrait changer à terme le paysage du cyber-crime. Selon les plans de l’organisme, n’importe quelle organisation pourra devenir un registrar de premier niveau (c’est à dire global, à l’image des .com, .net et .org). Cela est censé permettre à de grandes entreprises de gérer leur marque en contrôlant une extension à leur nom, telle par exemple « .apple » ou « .microsoft« ).

Mais bien entendu, il est fort à craindre que les cyber-criminels ne jettent aussi leur dévolu sur cette opportunité afin de mieux contrôler leurs infrastructures malveillantes.

Lire la suite

La CIA, Paypal et d'autres attaqués par DOS?

Depuis une semaine environ, le site de la CIA, de Paypal et de centaine d'autres sites subissent un bombardement de million de requêtes SSL provenant du botnet Pushdo. Il en résulte une consommation accrue de ressources, mais visiblement sans grande conséquence pour l'utilisateur jusque là.
Un membre de la Shadowserver Fondation, un collectif de chercheur en sécurité informatique, indique que la fréquentation sur les sites impactés s'est accrue de plusieurs millions de visites, en provenance de centaines de milliers d'adresses IP différentes. Il poursuit en indiquant que cela pourrait être grave si les sites ne recevaient que quelques centaines ou milliers de visiteurs par jour, ou si leur bande passante etait limitée...ce qui n'est visiblement (et heureusement) pas le cas.

315 sites web seraient impactés, la cia et paypal donc, mais également yahoo, ubuntu.com, twitter ou americanexpress. Les PC infectés initialisent une connexion SSL vers ces sites, se déconnectent et recommencent. Ce qui est bizarre est qu'ils ne demandent aucune ressource (image, document, texte), ce qui est pourtant courant dans les attaques par Dénis de service.


Pour avoir accès à la liste complète de site attaqué, c'est sur le site de la shadowserver.

Une fausse MAJ Outlook

Jerome Segura, un Security Analyst, met en garde contre une fausse mise à jour Microsoft Outlook lancé par le Gang Zeus (un des plus gros botnets mondial).

Ce genre de fausse page télécharge un fichier PDF, le gang essayant d'utiliser les vulnérabilités d'Adobe reader pour nous infecter. S'il réussissent, le PC rejoindra alors le réseaux de milliers et de milliers d'autres camarades sur le botnet Zeus.

Botnet : mise en place et SAV

Tous les éditeurs antivirus s'accordent à le dire, 2009 a été un déferlement de malware. Et certains d'entre eux ont enrôlé des PC de monsieur dans dans de grand Botnet.
La multiplication de ces armées de PC zombies a amené un vrai commerce. Louer un botnet de dizaine de milliers de machines, pour faire crasher le site d'un concurrent par exemple, peut revenir à moins de 100$.

L'industrie du cyber-crime est bien plus organisé que l'on pourrait le croire. Ce ne sont pas/plus des gosses de 14 ans ou un chevelus lunette ronde au nez de 30 ans, mais de vrais entrepreneurs, avec un grand renfort de codeur, de commerciaux, ... (à ce titre vous pouvez lire le billet de Philippe Maltere sur le blog sécurité d'Orange Business Services : Cybercriminalité SA, une société comme une autre ?)

Vous connaissez peut-être les "Marketplaces", ces bazars underground où les hackers du monde entier offre leurs services, vendent des botnets ou des listes de mots de passe. La compétition est rude, et donc tout est bon pour se démarquer du voisin ... y compris ouvrir un Service Après Vente. Vous achetez sur un site un trojan, un stealer, un pack phishing ou un service de spreading, et inclus dans le prix un Helpdesk vous dépannera en cas de malfonctionnement d'un de leurs outils pirates.

Voici l'exemple d'un service mature et aboutis : Furio Gaming.

Furio Gaming est un site hébergé en Allemagne et lancée début 2008. En 2009, avec plus de 1500 clients, FG se voit refondu en une véritable entreprise. Compte Paypal et AlertPay certifiés, des techniciens accusant au minimum 5 ans d'expérience dans la banche, un service 24/7 et garantissant un 100% satisfait.
Ses 4 activitées principales sont :

- des services "gaming" : piratage de consoles, account leveling, ...
- des services graphismes : logos, webdesign, ...
- des services d'hébergement de site web
- des services "hacking

L'offre hacking est très complète.

On retrouve les RAT (Remote Admin Tool) entre 24 et 29 $, des packs phishing (Paypal, Xbox Live, Hotmail, Amazon, Steam, Gmail, ...) pour moins de 10$, des voleur de mots de passe pour 50$.
Une fois équipé, ou alors possédant déjà votre propose arsenal, FG propose des services de diffusion de vos malware. Deux offres principales : le Turbo spreading et le spreading tout simple.

Le spreading seul vend un certains nombre de petit logiciel (keygen, DDosser, Automate youtube, ...) dont la cible principale est d'autres pirates (de logiciels, consoles ou les scripts-kiddies). Le pack de base (35 $) comprend trois logiciels, avec un rendement théorique d'environ 50 zombies en 5 jours. Le pack premium (6 logicels, 60 $) a un rendement de 400 bots en 3 jours!
En option le FUDing (dissimulation antivirus) et le chiffrement du botnet.

La seconde offre est une solution quasi clé en main :


1000 zombies pour moins de 80$ avec livraison en 4 jours, effectivement c'est du "turbo"! Une note en bas invite à ouvrir un ticket incident en cas de problème. A la manière d'un service web tout à fait légal, une page internet permet d'ouvrir un incident d'une manière extrèmement simple :

Furio Game n'est qu'un exemple parmi d'autres, mais dans son article Gunter Ollmann (ancien Chief Security Strategist à IBM) indique que FG possède l'une des équipes techniques les plus professionnelles.

Le monde des Botnets et du hacking est donc un business, il ne faut pas l'oubliez. Mais ce qui ne faut pas oublier non plus, c'est qu'à l'image du monde dans lequel on vit, il y a encore la place la passion.

adaptation française de : The Botnet Distribution and Helpdesk Services (Damballa)

Spam : l'astuce DNS du mois

Les créateurs de Botnets et les spammers sont toujours à la recherche du bon tuyau qui leur permettra de brouiller les anti-spam et anti-virus.

La toute dernière technique permet de contrecarrer les techniques d'inspections de liens mises en place par les anti-spam. Le filtrage par inspection de lien fonctionne de la manière suivante :
- un mail arrive dans une boite protégé par un anti-spam
- l'A-S scanne sont contenu
- l'A-S scanne le contenu de la page web en lien, ou compare le lien à base base de données de réputation de nom de domaine
- l'A-S fait de choix de bloquer ou laisser passer le mail
Pour un spammer, il est donc très important de pouvoir surpasser ces vérifications.

Donc certains ont eu une idée, que l'on pourrait qualifier de génial (machiavélique?). Cela consiste à contrôler temporellement la destination du lien, en changeant le pointage au moment critique. Ainsi ils brouillent les A-S, qui scanne une webpage alors inoffensive, puis change le pointage du site vers un site malicieux (malware spreading, phishing, ...) avant que l'utilisateur ne lise le mail.
L'idée est bonne, tout autant que la technique employée.

Pour arriver à leur fin, les spammers manipulent avec un timing parfait le DNS. Ils suivent la procédure suivante :
- envoi du spam durant la nuit (fuseau horaire de la cible)
- ils font en sorte que la résolution DNS du lien présent dans le spam corresponde à un site bénin (ou un HTTP 404)
- une fois le spam délivré aux cibles, ils switchent le DNS vers le site malicieux
Le changement de DNS doit s'effectuer avant que la victime ne lise ses mails, mais après l'inspection de l'anti-spam! Il faut donc aux pirates une précision d'horloger.

Cette méthode permet ainsi de troubler les filtres anti-spam qui utilise l'inspection de lien bêtement. N'oublions pas que face à ces logiciels se trouvent des humains, experts dans leur domaine : le spammer aura toujours un temps d'avance sur la protection.