Des dizaines de codes malveillants en vente libre sur internet

le 11/06/2008, par François Paget, chercheur en sécurité chez l'éditeur McAfee, Documentation, 975 mots

Des dizaines de codes malveillants en vente libre sur internet

La vente de codes malveillants devient un commerce comme un autre. On peut acquérir à moindre coût tout type de programme hostile ou de service d'attaque clé en main. Le Web est le canal de distribution idéal. Les codes malveillants sont désormais commercialisés sur le Web comme de simples anti-virus. Leur mode de fonctionnement se banalise et consiste de plus en plus à squatter des sites légitimes. En 2007, de très nombreuses pages appartenant à des sites web ont ainsi été secrètement modifiées. A chaque fois, quelques lignes de codes y ont été ajoutées et redirigent silencieusement le visiteur sur un site malveillant qui poursuivra l'attaque. Ce code de redirection porte le nom d' « iFrame ». C'est souvent un cadre de la taille du pixel qui contient un lien vers le site du pirate. Ce dernier est conçu autour d'un outil d'attaque lançant une recherche de vulnérabilités sur chaque machine qui le visite. Des outils en vente sur internet Si cet outil découvre une faille, il cherche alors à implanter deux programmes. Le premier est un piégeur qui tentera d'infiltrer d'autres pages Web. Le second est un « downloader » qui implantera le programme que le pirate souhaite utiliser : robot, porte dérobée, keylogger, etc ... Ces outils d'attaque sont en vente sur le Net et font souvent l'objet de petites annonces sur des forums spécialisés. Il y a parfois un lien vers le site Web de leur concepteur. Ces outils se monnayent quelques centaines d'euros mais ils se déprécient très vite. Les plus performants ont pu valoir jusqu'à 3000 $ aux premiers jours de leur mise en vente. En 2007, on a entendu parler de IcePack (d'origine russe), MPack et WebAttacker. On peut citer de façon plus exhaustive : - FTP Checker : 15 $ - IcePack (IDT Group) : 40 $ à 400 $ - Limbo V1.7 (Décembre 2006) : 1,000 wmz (monnaie définie sur le web, et 1 wmz vaut 1 $) - MPack (DreamCoders Team) V0.99 (Août 2007) : 700 $ - Nuclear Grabber (Corpse)V5 (Février 2007) : 3000 $ en octobre 2005 mais 100 $ en juillet 2007 - Pinch (Coban2k pour la version originale) V2.99 (Mars 2007) : 30 $ (Mise à jour: 5 $); Outil d'aide à la gestion à 100 $ - Power Grabber (privat.inattack.ru) v1.8 (Mars 2007) : 700 $ et 30 $ pour la protection anti-virus. - Web-Attacker (inet-lux.com) : 25 $ à 300 $(Juillet 2006), Approx. $17 Un nouveau trio en 2008 En 2008, c'est le trio Zupacha, ZeuS et ZUnker qui est très en vogue. On citera aussi FirePack. Zupacha est un programme de type robot (un bot), dédié à l'implantation d'un cheval de Troie. Zunker permet la gestion centralisée du botnet, c'est l'outil de commande et de contrôle. ZeuS est un crimeware, une version évoluée de keylogger (capture des frappes clavier) dédié au monde bancaire. Le diffuseur de ces outils est russe et ... Photo : Francois Paget, Threat Researcher, pour l'éditeur McAfee. Il est l'auteur de cet article de synthèse ... il se présente sous le pseudo de $ash. On le retrouve très fréquemment sur des forums underground où, par le passé, il proposait déjà MPack et Pinch. Par ailleurs, s'il est possible de rediriger secrètement les internautes vers un site d'attaque via des « iFrames », on trouve aussi le cas où des webmasters peu scrupuleux acceptent d'être rétribués pour piéger leurs propres sites. Depuis 2005, cette technique dite « d'affiliation » est très répandue sur le web. Un paiement à la victime Les affiliés sont payés selon un barème qui diffère selon le pays de leurs victimes. Il est ainsi plus rémunérateur de piéger des ordinateurs australiens que français. Après s'être inscrit sur le site de l' « affiliateur », l'affilié reçoit un mot de passe qui lui permet de se connecter sur son compte personnel. Là, il reçoit la séquence de code HTML qu'il devra insérer dans sa page d'accueil. Outre le lien vers le site d'attaque, l'url contient en paramètre son identifiant. Celui-ci sera récupéré par l'affiliateur qui, via un système centralisé de monitoring, pourra ainsi calculer la rémunération de chacun de ses affiliés. Autre activité rémunératrice : la location de botnet La location de botnet est aussi une activité rémunératrice. Les bots sont des programmes malveillants permettant la prise de contrôle à distance de machines vulnérables afin de former un réseau d'attaque caché (ou botnet). Avec un botnet, il est possible d'envoyer du spam, de faire des attaques en déni de service distribué et bien d'autres choses encore. On ne connaît pas trop leur nombre au niveau mondial, certains ont parlé à un moment de 100 à 150 millions de machines. Lors du 2 ème forum international de la cybercriminalité à ... ... Lille, le 20 mars 2008, le chiffre cité était d'environ 60 000 PC infectés chaque jour en France. Des sites proposent la mise à disposition de l'acheteur d'un réseau de 1000 bots sur 24 heures pour 60 $. Pour un mois, il en coûtera 550 $. Et, si l'on ne veut pas prendre soi-même les commandes du botnet pour intimider ou mettre hors service un concurrent, ce type de prestation peut aussi être sous traité. Une attaque par paliers Un serveur russe proposait récemment une attaque par paliers. Elle amène à imaginer le scénario suivant : avec 20 $, il lance pour l'acheteur une première salve d'avertissements d'une heure. Suite à cette intimidation, on tente de faire chanter son adversaire. S'il reste sourd aux menaces, on passe à la vitesse supérieure en mettant son site hors service toute une journée (coût 100 $). S'il se décide enfin à payer une rançon, l'attaquant devrait rentrer dans ses fonds. Bien d'autres offres sont disponibles sur internet. On notera également l'accès à des comptes bancaires. Le 2 mai dernier, par exemple, il était possible d'acquérir compte à la BNP créditeur d'environ 30 000 € contre 2200 €. L'acheteur bénéficie d'une garantie de 24 heures. S'il ne peut, dans ce délai, se connecter, ou si le compte n'est plus suffisamment approvisionné, un accès de remplacement lui sera fourni. Par ailleurs, une série d'individus proposent aussi leurs services pour du spam. Ils possèdent des adresses e-mails et sont prêts à expédier tout message. Il est alors plus coûteux d'envoyer des mails du type phishing plutôt que de simples messages liés à la vente de pilules.

Introduction à la ligne de commande Linux

Voici quelques exercices d'échauffement pour ceux qui commencent à utiliser la ligne de commande Linux. Attention, ça peut devenir addictif ! Si vous démarrez dans Linux ou si vous n'avez simplement jamais...

le 12/02/2020, par Sandra Henry-Stocker, Network World (adaptation Jean Elyan), 724 mots

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...