Les hackers adoptent la génération de noms de domaines pour leurs attaques

le 29/06/2012, par Jacques Cheminat avec IDG News Service, Hacking, 358 mots

Les hackers adoptent la génération de noms de domaines pour leurs attaques

Les pirates ont commencé à adopter des techniques de génération de domaine utilisées par les malwares envoyés par des botnets. Le but de cette méthode est de prolonger la durée de vie des attaques basées sur le web, selon des chercheurs de Symantec.


Ces techniques de génération de domaine ont été récemment observées dans une série d'attaques en drive by download comprises dans la boîte à outils Blak Hole. Elles infectent les internautes avec un malware lorsqu'il visite un site compromis, précise dans un blog Nick Johnston, chercheur en sécurité de Symantec

Le code malveillant ainsi injecté dans les sites web, via des balises iframe HTML cachées,  dirige silencieusement les internautes vers des domaines externes qui hébergent les boîtes à outil comme Black Hole. Ce dernier va vérifier si les navigateurs contiennent des failles dans les plug-ins et lorsqu'il en trouve, il installe le malware correspondant.

Les attaques web ont en général une durée de vie courte, car les spécialistes de la sécurité, les hébergeurs et les bureaux d'enregistrements de domaines travaillent ensemble pour fermer ce type de site et suspendre les noms de domaine corrompus. 

Comme les efforts pour faire tomber ces sites sont similaires à ceux utilisés pour les serveurs de commandes et contrôle des botnets, certains créateurs de malware ont intégré des méthodes de backup pour pouvoir reprendre le contrôle des ordinateurs infectés. Un de ces procédés consiste à ce que le malware contacte un nouveau nom de domaines généré quotidiennement selon un algorithme spécial, si le serveur C&C devient inaccessible.

Cette technique a été utilisée dans des attaques récentes avec Black Hole. Les noms de domaine chargés dans l'URL par des iframes cachés étaient changés quotidiennement et ont été générés par un algorithme d'horodatage. 

Les cybercriminels avaient enregistré tous les domaines que l'algorithme pouvait générer jusqu'au 7 août prochain, afin que les attaques fonctionnent jusqu'à cette date sans avoir besoin de changer le code inséré dans les sites web compromis.

Les spécialistes de Symantec avoue que jusqu'ici, ils ont vu « une flux modeste, mais régulier des domaines compromis qui utilise cette méthode. Cela suggère que ces tests pourraient prendre de l'ampleur à l'avenir ».

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...