• Un #botnet, un ensemble de machines (en général Windows) piratées et commandées par un méchant, à des fins néfastes, repose sur deux catégories de machines, les zombies (les machines piratées) et le C&C (« Command & Control », la ou les machines qui contrôlent le botnet).

    Des chercheurs ont pu mettre la main sur une machine C&C de #Flame, le malware (logiciel malveillant) dont on a déjà parlé ici <http://seenthis.net/messages/70862> Ils ont analysé son code (écrit en #PHP, ce qui fait que les chercheurs ont automatiquement le source) et pu en tirer des tas d’informations intéressantes :

    http://www.securelist.com/en/blog/750/Full_Analysis_of_Flame_s_Command_Control_servers

    Ils ne disent pas comment la machine C&C s’est fait avoir. Je suppose que l’Iran a monitoré le trafic des zombies, donné les adresses IP des correspondants à l’UIT, qui a noté qu’une des adresses était chez un FAI « coopératif ».

    Flame étant un logiciel d’espionnage (et pas d’attaque comme #Stuxnet), la principale tâche du C&C est de recevoir les données volées par Flame (en moyenne cinq giga-octets par semaine, n’oublions pas que Flame peut activer le micro de la machine et tout écouter), avant de les transmettre au chef du botnet (encore inconnu).

    Parmi les informations les plus intéressantes : le code du C&C peut gérer quatre malwares différents. L’un est Flame, bien sûr, mais les trois autres sont inconnus. En configurant un pot de miel (une machine se faisant passer pour le C&C, pour recevoir les appels des zombies), les auteurs ont pu déterminer qu’un de ces malwares (pour l’instant nommé « SPE ») était actif et émettait. Les deux autres ne semblent pas encore déployés.

    Autre information utile (un journal de connexions n’avait pas été détruit automatiquement, comme l’étaient les autres journaux du C&C), environ 1200 zombies se sont connetés (Flame n’est pas un malware de masse, il cible certains pays), la plupart d’Iran (on le savait) et du Soudan (c’est nouveau).