Trump se dit « absolument » prêt à téléphoner à [son homologue] Kim Jong-un
▻https://www.ouest-france.fr/monde/etats-unis/donald-trump/trump-se-dit-absolument-pret-telephoner-kim-jong-un-5486065
Ouest-France est en deuil. Disparition de François Régis Hutin, journaliste et patron de presse
▻https://www.ouest-france.fr/necrologie/ouest-france-est-en-deuil-disparition-de-francois-regis-hutin-journalis
RFC 8073 : Coordinating Attack Response at Internet Scale (CARIS) Workshop Report
Ce nouveau #RFC fait le bilan de l’atelier CARIS (Coordinating Attack Response at Internet Scale) qui s’est tenu à Berlin le 18 juin 2015. Cet atelier avait pour but d’explorer les problèmes de coordination entre les victimes et témoins d’une attaque portant sur l’Internet. Ce RFC est un compte-rendu, les positions exprimées ne sont pas forcément celles de l’IAB ou de l’Internet Society (organisateurs de l’atelier). D’autant plus que les participants ont mis les pieds dans le plat, expliquant très bien pourquoi il n’y a toujours pas de coordination globale des acteurs de l’Internet face aux attaques. (La plupart des rapports sur la #cybersécurité sont des monuments de lourde langue de bois, où on ne dit jamais ce que tout le monde sait, mais qui fâche. Par exemple que les acteurs de l’Internet ne partagent pas facilement avec les autorités, tout simplement parce qu’ils n’ont pas confiance - et ils ont bien raison.)
]]>On connait désormais le nom de l’auteur du #malware #Mirai. Il a été reconnu par sa combinaison assez inhabituelle de compétences dont il s’était vanté, sur un forum sous un pseudo, et sur LinkedIn sous son vrai nom...
▻https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author
]]>Failed #Mirai botnet attack causes internet outage for 900,000 Germans
▻http://www.dw.com/en/deutsche-telekom-hack-part-of-global-internet-attack/a-36574934
German security experts have suggested internet outages that have hit hundreds of thousands of Deutsche Telekom customers in Germany were part of a worldwide attempt to hijack routing devices.
“The BSI considers this outage to be part of a worldwide attack on selected remote management interfaces of DSL routers,” the government agency said on its website.
Deutsche Telekom said the issues seemed to be connected to an attempt to make a number of customers’ routers part of the Mirai botnet.
Deutsche Telecom information page:
▻https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862
Deutsche Telekom has developed a software update together with the router manufacturers which is offered for download here ▻https://www.telekom.de/stoerung
]]>a Mirai botnet perturbed Liberia’s internet connectivity
Liberia is connected to internet via only one undersea cable (part of ACE - African Coast to Europe) of 5.12 Tbps, shared between all 23 countries connected via ACE.
Mirai has been targeting IP addresses of Lonestarcell MTN, a telecom operators managing the Liberian ACE leg, flooding the pipe with 500 Gbps and thereby impacting Liberia’s internet several times. (well, the 6% of the country that actually has internet access).
Lonestarcell MTN is one of the 4 telecom operators
▻http://thehackernews.com/2016/11/ddos-attack-mirai-liberia.html
Many media, including BBC, PC World, The Guardian, Forbes, IBtimes, Quartz, Mashable, The Register, inaccurately reported that Liberia was totally cut off.
▻https://krebsonsecurity.com/2016/11/did-the-mirai-botnet-really-take-liberia-offline
“Both our ACE submarine cable monitoring systems and servers hosted (locally) in LIXP (Liberia Internet Exchange Point) show no downtime in the last 3 weeks,” [the general manager of Cable Consortium of Liberia] said. “While it is likely that a local operator might have experienced a brief outage, we have no knowledge of a national Internet outage and there are no data to substantial that.”
Mirai announces its attacks here:
]]>NewWorldHackers & Anonymous are behind the massive DDoS attack against Dyn DNS service, using the Mirai bonnet and other booters
▻http://securityaffairs.co/wordpress/52583/hacking/dyn-dns-service-ddos-3.html
When I asked which Anon groups were involved they replied me that many crews targeted the Dyn DNS service.
“Anonymous, Pretty much all of Anonymous” sais NewWorldHackers.
They confirmed me that they are testing the capability of their botnet, highlighting that the DDoS attack against the Dyn DNS Service was carried with the Mirai botnet alongside with other booters.
#DDoS #botnet #Mirai
#NewWorldHackers #Anonymous
#Dyn #DNS
#IoT
ESET discovers first-ever botnet of Android devices that is controlled via Twitter instead of C&C center
The new Android/Twitoor.A trojan can’t be found on any official Android app store; it probably spreads by SMS or via malicious URLs.
It then hides inside apps mimicking MMS viewers and porn players apps. These apps don’t deliver any working functionality and hide their presence as soon as the user installs them.
The trojan then checks a Twitter account at specific intervals for new commands. The botnet’s operator tweets out instructions, which are interpreted by the trojan and converted into a malicious action.
A particular feature of the Twitoor botnet is that the Twitter C&C accounts can at any time switch the botnet’s control to a new account.
▻http://www.welivesecurity.com/2016/08/24/first-twitter-controlled-android-botnet-discovered
“In the future, we can expect that the bad guys will try to make use of Facebook statuses or deploy LinkedIn and other social networks”, states ESET’s researcher.
]]>It was only a matter of time : Botnet of Aethra Routers used for brute-forcing WordPress sites
A year ago, a researcher from Italian security company VoidSec investigated his WordPres logs, to discover that there was a brute-force attack going on trying to guess the admin password, and of course try the default (blank admin & password). He found out the attack came from Aethra modem/routers (BG1242W, BG8542W) (Aethra is an Italian telecom company).
Well, he does say that
I cannot easily determine if attacks come directly from the devices or from PCs connected to them, but it is safe to think that routers are the main actors.
Additional investigation also revealed that some of the routers were also susceptible to various reflected XSS and CSRF attacks that would also allow attackers to take control of the device.
Botnet size:
Using #Shodan, a search engine for locating Internet-connected devices, researchers found over 12,000 of Aethra routers around the world, 10,866 in Italy alone, and over 8,000 of these devices were of the model detected in the initial brute-force attack (Aethra Telecommunications PBX series). At that time, 70% of these Aethra routers were still using their default login credentials
The details are in their article:
]]>RFC 7720 : DNS Root Name Service Protocol and Deployment Requirements
L’Internet repose en grande partie sur le #DNS (si ce dernier est en panne, presque plus rien ne fonctionne) et le DNS doit à sa nature arborescente de dépendre de sa racine ou plus exactement de ses serveurs racine. La gestion de ces derniers est donc une question cruciale. Ce très court RFC précise les obligations des serveurs racine en terme de protocoles réseau à suivre. D’autres documents décrivent les exigences opérationnelles.
]]>Ponmocup, one of the biggest active botnets
Discovered in 2006, it is operational for 9 years now. It is actively in use and under continuous development. The botnet is believed to be aimed at financial gain. It is a malware framework, written in C++ and using encryption to hide its operations.
The initial way of distribution was through fake codec packs and fake Flash players. Later on they developed their own method called Zuponcic.
▻http://blog.fox-it.com/2015/12/02/ponmocup-a-giant-hiding-in-the-shadows
Ponmocup’s operators are technically sophisticated, their techniques suggest a deeper than regular knowledge of the Windows operating system. On top of that, the operators have close to 10 years of experience with malware development. Their framework was developed over time, quality tested and then improved in order to increase robustness and reduce the likelihood of discovery.
The operators are most likely Russian speaking and possibly of Russian origin. This is based on the fact that instructions to business partners and affiliates are written in Russian, and that historically, Ponmocup would not infect systems in some post-Soviet States.
A very detailed document describes into more details how the botnet operates:
▻https://foxitsecurity.files.wordpress.com/2015/12/foxit-whitepaper_ponmocup_1_1.pdf
(backup link : ▻http://docdro.id/iSMmgrX)
This infection vector relies on social engineering or outdated
Java software in order to execute a Java applet.
These applets are typically run in a sandbox, in order to
prevent them from touching the file system, so to drop
the Ponmocup installer on a victim’s machine this Java
applet has to escape the sandbox. Ponmocup successfully
does so because the Java applet is signed with a
valid certificate, stolen from a legitimate organization.
Older versions of Java (pre-dating Java 7 Update 21 to
be specific) which blindly trust certificates issued by
authorities, will run this applet outside of the sandbox
without even asking for the user’s permission.
]]>Dorkbot
▻https://www.us-cert.gov/ncas/alerts/TA15-337A
Dorkbot is designed to steal passwords for online accounts, including social networks like Facebook and Twitter, as well as to install additional malware that can turn infected endpoints into nodes in a DDoS attack or part of a spam relay.
Dorkbot is commonly spread via malicious links sent through social networks, instant message programs or through infected USB devices.
Dorkbot is operated via IRC, and exists since 2011.
Dorkbot Botnets Get Busted (4 December 2015)
▻http://www.bankinfosecurity.com/dorkbot-ddos-botnets-get-busted-a-8728/op-1
]]>The Linux XOR botnet is launching crippling DDoS attacks in excess of 150 Gbps
The XOR #DDoS #botnet can generate attacks more powerful than most businesses can withstand.
▻http://www.pcworld.com/article/2987580/security/a-linux-botnet-is-launching-crippling-ddos-attacks-at-more-than-150gbps.htm
Attackers install it on Linux systems, including embedded devices such as WiFi routers and network-attached storage (NAS) devices, by guessing SSH (Secure Shell) login credentials using brute-force attacks.
[...]
Old and unmaintained routers are especially vulnerable to such attacks, as several incidents have shown over the past two years.
▻https://www.stateoftheinternet.com/resources-web-security-threat-advisories-2015-xor-ddos-attacks-l
Akamai’s Security Intelligence Response Team (SIRT) is tracking XOR DDoS, a Trojan malware that DDoS attackers have used to hijack Linux machines to build a botnet for distributed denial of service (DDoS) attack campaigns with SYN and DNS floods.
• The XOR DDoS botnet has produced DDoS attacks from a couple of Gbps to 150+ Gbps
• The gaming sector has been the primary target, followed by educational institutions.
• The botnet has attacked up to 20 targets per day, 90% of which were in Asia.
• XOR DDoS is an example of attackers building botnets of Linux systems instead of Windows-based machines.
• XOR DDoS appears to be of Asian origin
• The malware spreads via Secure Shell (SSH) services susceptible to brute-force attacks due to weak passwords.
• To hide its presence, the malware also uses common rootkit techniques.
• Akamai’s SIRT expects XOR DDoS activity to continue as attackers refine and perfect their methods, including a more diverse selection of DDoS attack types.
What you can find in the Technical information about XOR:
• Indicators of binary infection
• Characteristics of the botnet and C2 communications
• Observed DDoS attack campaigns
• DDoS payloads for DDoS mitigation
• Snort rule to detect the initial registration of a bot with its C2
• YARA rule to detect infection by XOR DDoS malware on your hosts
4 steps to remove XOR DDoS malware from a Linux host
▻https://www.stateoftheinternet.com/downloads/pdfs/2015-threat-advisory-xor-ddos-attacks-linux-botnet-malware-remov
An argumentation (by a Linux fan) against blaming Linux about this botnet:
(albeit somewhat "de mauvaise foi", and using as main defence argument that anything can fail against brute force attacks):
▻http://www.infoworld.com/article/2990956/linux/dont-blame-linux-for-the-xor-botnet.html
The real culprits are the irresponsible vendors behind cheap broadband routers and their clueless customers
The existence of the XOR DDoS was already mentioned here in January 2015 by @stephane : ▻http://seenthis.net/messages/327907
Evgueni « Fantomas » Bogatchev, l’insaisissable hacker russe
►http://www.lemonde.fr/pixels/article/2015/08/27/evgueni-fantomas-bogatchev-bogatchev-l-insaisissable-hacker-russe_4738498_44
Mais, toujours selon le Daily Mail qui a questionné Aslan Vladimirovich Goshokov, un responsable de la police locale, aucune demande d’arrestation ne lui est jamais parvenue au nom de Bogatchev, dont le casier judiciaire est toujours vierge en Russie. Mieux : questionnés dans la rue, des habitants d’Anapa n’hésitent pas à voir en Bogatchev un héros de la nation, méritant plus une médaille que la prison, pour avoir tenu tête et dépouillé des représentants du « grand capital ».
]]>In the cyberspace, Microsoft now hears you screaming...
[Nice scientific experience]
▻http://kuow.org/post/listen-sound-botnets-helps-microsoft-fight-cybercrime
]]>Un pirate mine 620 000 dollars de DodgeCoin via un botnet NAS ! | UnderNews
▻http://www.undernews.fr/malwares-virus-antivirus/un-pirate-mine-620-000-dollars-de-dodgecoin-via-botnet-nas.html
En effet, la version 4.3 du DSM (Disk Station Manager) des NAS Synology est victime d’une faille sur le protocole SMB, permettant à des utilisateurs de miner des Dogecoins.
]]>▻http://www.welivesecurity.com/2014/03/18/operation-windigo-the-vivisection-of-a-large-linux-server-side-crede
« Today, we are publishing the results of significant amounts of research effort in a report titled “Operation Windigo – The vivisection of a large Linux server-side credential stealing malware campaign”. This report details our analysis of a set of malicious programs that are used together to infect servers and desktop computers. »
]]>“Researchers say they have uncovered an ongoing attack that infects home and small-office wireless routers from #Linksys with self-replicating malware, most likely by exploiting a code-execution vulnerability in the device firmware.”
▻http://arstechnica.com/security/2014/02/bizarre-attack-infects-linksys-routers-with-self-replicating-malware
Soon, a #botnet made of small routers?
]]>J’ai lu "Confession d’un pédophile : l’impossible filtrage du Web"
▻http://archives-lepost.huffingtonpost.fr/article/2010/02/01/1918529_j-ai-lu-confession-d-un-pedophile-l-impossibl
PS : Je rappelle que le PDF téléchargeable est gratuit et ne contient aucun élément de pédophilie
▻http://www.ilv-bibliotheca.net/librairie/confession_dun_pedophile_limpossible_filtrage_du_web.html
▻http://www.ilv-edition.com/images/librairie/couvertures/confession_dun_pedophile_limpossible_filtrage_du_web.jpg
bon voilà, avec trois ans de retard j’ai lu ce #livre ; en me bouchant un peu le nez pour la préface (Robert Ménard). Il propose notamment trois longs textes, assez intéressants, sur la problématique du #filtrage (ou #censure) du net qui se met en place pour lutter contre la pédopornographie.
Le journaliste Fabrice Epelboin présente un texte rédigé par un ancien administrateur (anonyme) de serveur d’images pédophiles. Il explique en détails comment selon lui fonctionne techniquement et économiquement ce business, qui selon ses estimations « pèse » environ 20 millions de dollars/an ; il souligne au passage que (d’après lui toujours) ce sont les opérateurs financiers (banques fermant les yeux, etc.) qui en extraient le maximum d’argent.
Et il décrit (c’est peut-être ça le plus intéressant) comment les opérateurs de ce genre de service emploient des spécialistes de différents types de criminalité électronique (blanchiment, piratage de carte bancaire, #botnets, virus, et surtout le #spam qui permet d’atteindre les clients, notamment quand le DNS est bloqué).
Deux « chasseurs de pédophiles », un expert judiciaire britannique et un ancien gendarme-enquêteur français, prennent ensuite position contre le filtrage du Web, arguant que ça ne sert à rien, à part à rassurer le public de TF1 en montrant qu’on fait quelque chose, et attraper des petits consommateurs imprudents : « filtrer internet ne portera atteinte ni à la capacité des marchands de commercialiser leur offre, ni à celle des consommateurs d’y accéder ». Et tandis qu’on privilégie ces non-solutions, les moyens manquent pour mener de vraies enquêtes qui pourraient remonter les filières.
Je n’évoque pas le reste (Champeau, Pasquini et Zimmerman), mais c’est bien aussi.
]]>Etats-Unis : spamé par son... frigo - France Info
▻http://www.franceinfo.fr/high-tech/etats-unis-spame-par-son-frigo-1286341-2014-01-18
Il le croyait innocent, accueillant même. Le réfrigérateur, cet ami du quotidien. Celui qui maintient au frais son soda préféré, qui veille avec zèle sur le coleslaw, qui permet de ne pas aller chercher une vache à chaque fois qu’on a envie d’un steak. Quelle n’a pas dû être la surprise, le chagrin même de cet Américain en se découvrant trahi. Un bandit informatique s’était installé dans cette cuisine, où chaque matin, il pénétrait sans méfiance en pyjama, l’esprit tout embrumé. Un frigo transformé en pirate du net, de quoi inspirer un nouveau filon aux scénaristes hollywoodiens. Pire qu’un colocataire psychopathe ou que l’hôtel qui rend fou. On imagine déjà Jack Nicholson dans le rôle.....
#États-Unis
#cyberattaque
#piratage
#spams
#téléviseurs
#réfrigérateurs
#objets-connectés
Internet des objets : le cri d’alarme de Bruce Schneier
▻http://www.linformaticien.com/actualites/id/31569/internet-des-objets-le-cri-d-alarme-de-bruce-schneier.aspx
Hier dans une tribune publiée sur le magazine Wired et accessible à cette adresse, il met en exergue l’absence de sécurité des objets connectés, des appareils qui les relient (les routeurs en particulier) et la quasi impossibilité de « patcher » les failles qui affectent les objets. L’article débute ainsi : « Nous sommes désormais à un point de crise en ce qui concerne la sécurité des systèmes embarqués, où l’informatique est embarquée dans le matériel lui-même – comme pour l’internet des objets. Ces systèmes embarqués sont criblés de vulnérabilités et il n’y a pas de bon moyen pour les patcher ».
]]>Windows XP : 2014 un vrai risque
▻http://www.commentcamarche.net/faq/38256-windows-xp-2014-un-vrai-risque
Migrer vers Windows 7 voir 8 aura un coût, si votre ordinateur en support les recommandations.
Je vois mal un Pentium avec 512 Mo de ram tourner.
Vous pouvez migrer vers Linux qui aura les avantages d’avoir aucun coût, de fonctionner sur de vieille machine et être à l’abri de toutes infections.
#windows-xp
#gnu/linux
#512-Mo-de-ram
#hackers
#pirates
#botnets
#avril-2014
« ZeuS-P2P monitoring and analysis » Excellente analyse technique du #botnet Zeus-P2P par le CERT polonais. Zeus est un kit de construction de botnets, pour éviter aux mafieux de devoir tout faire par eux-mêmes, kit qui était vendu et dont le code source a mystérieusement fuité. Un certain nombre de botnets ont ainsi pu être construits gratuitement et des perfectionnements ont été apportés à Zeus par la communauté (merveille du code source disponible). L’une de ces améliorations a été utilisé pour bâtir le botnet Zeus-P2P (également appelé #Gameover) : au lieu de communiquer uniquement avec un maître (le C&C pour Command and Control) centralisé, Zeus-P2P sait récupérer les informations, les ordres et les mises à jour en pair-à-pair... (Son algorithme est proche de celui de #Kademlia.) Il est un des premiers (la date exacte n’est pas forcément connu) botnets avec cette capacité.
Zeus-P2P a aussi des méthodes classiques de communication avec son C&C comme un DGA (Domain generation Algorithm) pour engendrer des noms de domaine à essayer pour cette communication.
Le pair-à-pair fournit de la résilience mais il vient avec ses propres vulnérabilités. Les chercheurs du CERT ont ainsi pu s’insérer dans ce botnet et l’observer (sans toutefois pouvoir le diriger, le logiciel vérifiant les signatures cryptographiques des messages). La partie la plus drôle du rapport est la description de l’observation, par le CERT, de deux attaques (sans doute menées par des botnets concurrents) contre Zeus-P2P, attaques qui ont été vues en temps réel.
Contrairement à la plupart des rapports techniques d’analyse d’un logiciel malveillant, les auteurs de celui-ci ont eu des préoccupations pédagogiques et expliquent tous les termes utilisés.
Le rapport du CERT : ▻http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf
La fiche de Zeus-P2P sur botnets.fr : ▻https://www.botnets.fr/index.php/Gameover
]]>Une carte animée illégale d’Internet par 420.000 botnets sous Linux
▻http://neosting.net/actualite/carte-internet-420-000-carnabotnets-linux.html
Pour le fun, un chercheur anonyme a voulu créer une carte pour montrer l’activité d’Internet. Mais, pour réaliser son exploit, il a créé un hack, le Carna Botnet, afin de faire des botnet dont le but est de définir leur présence sur la toile grâce au ping. Les cibles sont ... #botnets #carte #internet #linux
]]>The Genesis Block - The Foundation of All Things Bitcoin
▻http://thegenesisblock.com/have-we-reached-a-turning-point-for-bitcoin-ddos
explication de l’utilisation d’une attaque de type Ddos sur les transactions bitcoins pour spéculer...
...et comment le prix de ces micro-transactions et de la location du botnet pour l’attaque n’est pas forcément rentabilisé
#bitcoin #ddos #transaction #botnet #spéculation #marché #maturité
]]>Port scanning /0 using insecure devices - most comprehensive IPv4 census ever. Most controversial method too… Full 9 TB dataset available: ►http://seclists.org/fulldisclosure/2013/Mar/166 #IPv4 #security #botnet
]]>Un des plus gros problèmes d’un #botnet (réseau d’ordinateurs piratés et obéissant désormais à un maître méchant) est de trouver leur commandant, le C&C (Command & Control). Utiliser des adresses IP codées en dur les rend vulnérables au filtrage. Ici, deux logiciels malveillants utilisent des noms de domaines, mais de façon originale, l’un des enregistrements TXT binaires, l’autres des enregistrements SPF (qui paraissent à première vue complètement inoffensifs).
▻http://www.symantec.com/connect/blogs/morto-worm-sets-dns-record
]]>Plongée dans un #botnet... Les auteurs de l’article ont réussi à pirater (avertissement au passage : pirater un méchant est peut-être légal dans leur pays mais pas forcément dans le vôtre ; vérifiez avec votre avocat avant de jouer au justicier) le C&C (le système de commande et de contrôle) d’un grand botnet, #TDSS (5 millions de zombies, les machines Windows infectées) et racontent ce qu’ils ont découvert.
Le C&C a été eu par une simple injection SQL. Moralité : si vous voulez devenir cyber-criminel, suivez des cours de sécurité informatique. Ensuite, les pirates, enfin les justiciers, enfin les auteurs de l’article ont réussi à passer root sur le serveur du C&C et ont alors mis la main sur le code source du C&C (écrit en PHP), et sur sa base de données (du MySQL). C’est ainsi qu’ils ont découvert des choses comme le nombre total de zombies dans le botnet. Chacun des zombies était soigneusement enregistré, avec une table dans la base de données, notant entre autres l’identité du recruteur : TDSS était un botnet où le recrutement était sous-traité à des gens qui devaient trouver des moyens (faille technique du navigateur Web, ingéniérie sociale, etc) de planter le logiciel malveillant dans le plus de machines possibles, et qui étaient rémunérés au prorata du nombre de zombies recruté (d’où l’importance de garder trace du « parrain » de chaque zombie).
Ensuite, TDSS utilisait ces zombies pour des attaques par déni de service, de l’envoi de spam, etc.
Lecture passionnante, plein de code source et plein de détails. J’ai beaucoup aimé le fait que le logiciel malveilant incluait un antivirus... pour éliminer les logiciels malveillants concurrents.
]]>Russian Underground Offers #Cybercrime Services at Dirt-Cheap Prices | Threat Level | Wired.com
►http://www.wired.com/threatlevel/2012/11/russian-underground-economy
Wanna buy a botnet? It will cost you somewhere in the region of $700. If you just want to hire someone else’s botnet for an hour, though, it can cost as little as $2.
(...)
The following is a survey of current prices on the Russian underground market:
Basic crypter (for inserting rogue code into a benign file): $10-$30
SOCKS bot (to get around firewalls): $100
Hiring a DDoS attack: $30-$70/day, $1,200/month
Email #spam: $10 per one million emails
Email spam (using a customer database): $50-$500 per one million emails
SMS spam: $3-$150 per 100-100,000 messages
#Botnet: $200 for 2,000 bots
#DDoS botnet: $700
ZeuS source code: $200-$500
Windows rootkit (for installing malicious drivers): $292
#Hacking Facebook or Twitter account: $130
Hacking Gmail account: $162
Hacking corporate mailbox: $500
Winlocker ransomware: $10-20
Unintelligent exploit bundle: $25
Intelligent exploit bundle: $10-$3,000
]]>Les gérants du groupe #HostExploit compilent un rapport régulier sur les plus grosses sources de Mal de l’Internet, c’est à dire les systèmes autonomes hébergeant le plus de centres de commande de #botnets, le plus de serveurs de #hameçonnage, envoyant le plus de #spam... Un Who’s who des acteurs de l’Internet, sous l’angle négatif. Dans le dernier rapport, numéroté Q32012, on note un nouveau n° 1 de ce classement, #Confluence, et l’arrivée du français #OVH dans le sommet.
]]>Un #botnet, un ensemble de machines (en général Windows) piratées et commandées par un méchant, à des fins néfastes, repose sur deux catégories de machines, les zombies (les machines piratées) et le C&C (« Command & Control », la ou les machines qui contrôlent le botnet).
Des chercheurs ont pu mettre la main sur une machine C&C de #Flame, le malware (logiciel malveillant) dont on a déjà parlé ici <►http://seenthis.net/messages/70862> Ils ont analysé son code (écrit en #PHP, ce qui fait que les chercheurs ont automatiquement le source) et pu en tirer des tas d’informations intéressantes :
►http://www.securelist.com/en/blog/750/Full_Analysis_of_Flame_s_Command_Control_servers
Ils ne disent pas comment la machine C&C s’est fait avoir. Je suppose que l’Iran a monitoré le trafic des zombies, donné les adresses IP des correspondants à l’UIT, qui a noté qu’une des adresses était chez un FAI « coopératif ».
Flame étant un logiciel d’espionnage (et pas d’attaque comme #Stuxnet), la principale tâche du C&C est de recevoir les données volées par Flame (en moyenne cinq giga-octets par semaine, n’oublions pas que Flame peut activer le micro de la machine et tout écouter), avant de les transmettre au chef du botnet (encore inconnu).
Parmi les informations les plus intéressantes : le code du C&C peut gérer quatre malwares différents. L’un est Flame, bien sûr, mais les trois autres sont inconnus. En configurant un pot de miel (une machine se faisant passer pour le C&C, pour recevoir les appels des zombies), les auteurs ont pu déterminer qu’un de ces malwares (pour l’instant nommé « SPE ») était actif et émettait. Les deux autres ne semblent pas encore déployés.
Autre information utile (un journal de connexions n’avait pas été détruit automatiquement, comme l’étaient les autres journaux du C&C), environ 1200 zombies se sont connetés (Flame n’est pas un malware de masse, il cible certains pays), la plupart d’Iran (on le savait) et du Soudan (c’est nouveau).
]]>Bekenntnisse eines Botnetz-Betreibers | heise Security
►http://www.heise.de/security/artikel/Bekenntnisse-eines-Botnetz-Betreibers-1574190.html
Comment gagner de l’argent en gérant son propre #botnet
(et comment protéger sa machine)
Cette brève sur heise #security contient des liens vers une page où un #codeur criminel explique comment il fait pour gagner de l’argent. En lisant on tombe sur des explications comment se protéger contre des #malware et comment en fabriquer des plus ou moins efficaces.
J’arrive à la conclusion qu’il est plus facile de se protéger qu’on le pense d’habitude, mais qu’il ne faut pas faire confiance aux logiciels #antivirus : Leurs auteurs font exprès de laisser systématiquement des trous, afin de ne pas ruiner leur propres affaires.
L’interview
►http://www.reddit.com/r/IAmA/comments/sq7cy/iama_a_malware_coder_and_botnet_operator_ama
Comment fabriquer des browser extensions
►http://kangoextensions.com
Des infos valables sur les questions de sécurité
►https://www.securelist.com/en/blog
►http://krebsonsecurity.com
Bonne description d’un logiciel malveillant, Android.Bmaster, distribué dans un #cheval_de_Troie, et qui infecte les smartphones #Android. Une fois touchés, ceux-ci contactent le maître du #botnet, qui leur fait appeler des numéros spéciaux surtaxés. Le botnet rapporterait à son chef entre 1600 et 9000 $ par jour (l’évaluation économique est la partie la plus intéressante de l’article).
(Android.Bmaster est diffusé uniquement en Chine, le malware, c’est comme les séries TV, c’est national.)
►http://www.symantec.com/connect/blogs/androidbmaster-million-dollar-mobile-botnet
]]>RFC 6561 : Recommendations for the Remediation of Bots in ISP Networks
Une des plus grosses menaces sur la sécurité de l’Internet réside dans les #zombies, ces machines Windows contaminées par du logiciel malveillant et qui obéissent désormais à un maître qui leur ordonne, selon sa volonté, de lancer une dDoS, d’envoyer du spam, etc. Ce #RFC documente le point de vue d’un gros FAI, Comcast, sur le problème. La partie que je trouve la plus riche est celle sur le difficile problème de la notification des utilisateurs.
]]>Bitcoins: What are they, and how do they work? | Technology | guardian.co.uk
►http://www.guardian.co.uk/technology/2011/jun/22/bitcoins-how-do-they-work
Credible reports suggest some individuals connected to Anonymous have #botnets with more than 100,000 active computers. A network of this size, even mining #Bitcoins inefficiently, has the potential to generate 400 to 500 coins a day – worth in excess of $7,500 before the crash.
]]>Contrôlez votre propre #botnet en #Python
►http://charlesleifer.com/blog/simple-botnet-written-python
Le code nécessaire pour un C&C (la machine qui dirige un botnet), en utilisant le protocole #IRC.
Aujourd’hui, on utilise plutôt #HTTP (avec #REST), moins filtré. Moi, je voudrais du #XMPP :-)
]]>Il y a eu un peu de buzz récemment à propos d’une « attaque » DNS contre le domaine national belge, .BE.
[Avertissement : comme la plupart des articles concernant la sécurité
informatique, ceux-ci contiennent 90 % d’énormités.]
Le communiqué officiel :
►http://www.dns.be/fr/home.php?n=461
Les connaisseurs du DNS auront noté l’énormité dans le communiqué du
registre de .BE, « Un botnet demande aux serveurs de nom de DNS.be les
’MX records’ associés aux noms de domaine. Cette demande est
inhabituelle pour les serveurs de nom d’un TLD étant donné que les
records en question se trouvent dans les serveurs de nom des
titulaires de noms de domaine. » C’est complètement faux puisque justement les
serveurs du TLD (.BE, .COM, etc) reçoivent l’intégralité de la première requête
(ensuite, l’information est dans le cache du résolveur qui a demandé), MX ou pas MX. Tous les serveurs de TLD reçoivent ainsi 30 à 40 % de requêtes MX en temps normal.
Le premier article public :
►http://datanews.rnews.be/fr/ict/actualite/apercu/2011/04/05/un-botnet-prend-la-belgique-pour-cible/article-1194984948126.htm
Le plus débile :
►http://www.undernews.fr/hacking-hacktivisme/linternet-belge-cible-dune-cyberattaque.html
Le titre le plus idiot :
►http://www.7sur7.be/7s7/fr/4134/Internet/article/detail/1245908/2011/04/04/L-internet-belge-hacke.dhtml
]]>Cartographier un botnet via GoogleMaps - Sécurité des réseaux et des SI - Orange Business Services
▻http://blogs.orange-business.com/securite/2010/09/cartographier-un-botnet-via-googlemaps.html
#maps #security #hack #botnet