#gameover

Stéphane Bortzmeyer CC BY-SA 18/06/2013

« ZeuS-P2P monitoring and analysis » Excellente analyse technique du #botnet Zeus-P2P par le CERT polonais. Zeus est un kit de construction de botnets, pour éviter aux mafieux de devoir tout faire par eux-mêmes, kit qui était vendu et dont le code source a mystérieusement fuité. Un certain nombre de botnets ont ainsi pu être construits gratuitement et des perfectionnements ont été apportés à Zeus par la communauté (merveille du code source disponible). L’une de ces améliorations a été utilisé pour bâtir le botnet Zeus-P2P (également appelé #Gameover) : au lieu de communiquer uniquement avec un maître (le C&C pour Command and Control) centralisé, Zeus-P2P sait récupérer les informations, les ordres et les mises à jour en pair-à-pair... (Son algorithme est proche de celui de #Kademlia.) Il est un des premiers (la date exacte n’est pas forcément connu) botnets avec cette capacité.

Zeus-P2P a aussi des méthodes classiques de communication avec son C&C comme un DGA (Domain generation Algorithm) pour engendrer des noms de domaine à essayer pour cette communication.

Le pair-à-pair fournit de la résilience mais il vient avec ses propres vulnérabilités. Les chercheurs du CERT ont ainsi pu s’insérer dans ce botnet et l’observer (sans toutefois pouvoir le diriger, le logiciel vérifiant les signatures cryptographiques des messages). La partie la plus drôle du rapport est la description de l’observation, par le CERT, de deux attaques (sans doute menées par des botnets concurrents) contre Zeus-P2P, attaques qui ont été vues en temps réel.

Contrairement à la plupart des rapports techniques d’analyse d’un logiciel malveillant, les auteurs de celui-ci ont eu des préoccupations pédagogiques et expliquent tous les termes utilisés.

Le rapport du CERT : ▻http://www.cert.pl/PDF/2013-06-p2p-rap_en.pdf

La fiche de Zeus-P2P sur botnets.fr : ▻https://www.botnets.fr/index.php/Gameover

#P2P #sécurité

#Zeus

Stéphane Bortzmeyer CC BY-SA