- d'envoyer des mails de spams - Ces mails de spams peuvent être utilisés pour effectuer des attaques de phising. (Pour identifier une machine qui spam sur un réseau, se rendre à la page suivante : spambot-identifier-une-machine-qui-spam-sur-reseau-lan-t27238.html#p218766 ).
- effectuer des attaques de type DDOS.
- scanner des réseaux via des PC du botnet afin de découvrir des vulnérabilités et effectuer des attaques.
- propager de nouvelles infections.
La machine étant à la merci des pirates, il est aussi possible de :
- récupérer les mots de passe Paypal, jeux en ligne pour les revendre, éventuellement des comptes de forums, sites WEB ou autres si les sites peuvent intéresser le pirate.
- installer des adwares qui vont ouvrir des popups de publicité afin de rémunérer les pirates via votre PC.
- installer d'autres malwares (pour les faire rentrer dans un autre botnet) ou mettre à jour les infections pour échapper à la détection des antivirus.
En général, le pirate est payé afin d'effectuer certains opérations avec son botnet (spammer, attaque DDoS), il peut aussi sous-loué une partie du botnet.
Les botnets sont donc un business dont les PC des internautes en sont le moteur.
(voir la page Business malwares : le Pourquoi des infections)
Les infections se font généralement par des chevaux de troies et une backdoor (porte dérobée). Les PC les plus touchés sont bien sûr les PC qui ne sont pas protégés (pas d'antivirus ou pas à jour mais surtout pas de firewall). Pour plus d'informations sur la sécurisation de votre ordinateur : Sécuriser son ordinateur et connaître les menaces
Le top des pays d'où proviennent les PC Zombis : http://www.ciphertrust.com/resources/st ... zombie.php
(bien que cette étude aurait été vraiment intérressante, si le nombre de PC zombis avaient été ramené au nombre de connexion haut débit).
Certains malwares connectent à l'insu de l'utilisateur le PC à des réseaux IRC (ce sont des serveurs qui permettent de "chatter" comme voila). A partir de channel dit de "contrôle", le pirate peut contrôler les PC zombis, on parle alors de bots IRC.
Le pirate peut lancer des commandes qui seront interprétées par ces bots comme par exemple : !flood afin de lancer des attaques.
Concrètement à partir du réseau IRC et via le client IRC, le pirate peut contrôler votre ordinateur.
Vous pouvez vous rendre à cette page pour avoir un aperçu des Virus IRC créant des botnet : http://www.malekal.com/virusIRC.html
Sur cette capture, on peut voir les bots (PC zombis) dans la liste de droite. On voit ici que les pirates ont lancé une attaque vers l'IP 85.103.38.108
Sur cette capture, les pirates lancent les bots à l'assaut de serveurs IRC (mircindir.net / undernet) afin d'envoyer des messages de SPAM avec des adresses WEB : http://kis-msn.gen.tr
Si un utilisateur recevant ces messages ouvre ce site et exécute l'un des fichiers de ce site, il sera probablement infecté et son ordinateur s'ajoutera à la longue liste des ordinateurs contrôlés par ces pirates.
Autre exemple ci-dessous avec les infections MSN.
La capture ci-dessous montre les PC Zombis qui joignent le channel, les machines sont identifiés par pays : FRA (France), SWE (Suède), BEL (Belgique) etc.
Le message d'accueil du channel (topic) est utilisé pour envoyer les commandes aux PC Zombis pour entre autre répandre l'infection, on voit le message avec le lien contenant le malware qui sera envoyé aux contacts MSN des PC infectés.
Si un des contacts ouvre le lien reçu et execute, il est à son tour infecté et rejoint les autres PC Zombis.
Voici un autre exemple avec ce malware : http-www-alarmingvideos-com-images-load-load-php-t26929.html#p217284
Le malware est capable (en autre) de voler des informations sur les PC infectés ce qui nous donne ceci :
Des serial de programmes :
Des comptes de sites WEB dont des comptes bancaires, rapidshare etc.
Autres explications et exemples sur la page : Backdoor.IRC : le couteau suisse
Vous avez aussi le cas des RATS/Bifrose comme expliqué sur la page : RAT, Bifrose : Botnet pour les nuls
Sur cette vidéo, on voit le vol de mot de passe et l'accès aux sites WEB :
Dans les exemples ci-dessus, les PC Zombis se connectent à un serveur central IRC (sauf pour les RATS/Bifrose).
Si le serveur IRC tombe, les PC zombis ne sont plus sous contrôle (ils sont encore infectés mais la connexion au serveur IRC ne se fait plus et il n'est plus possible de donner des ordre).
Certains infections effectuent des connexions à plusieurs serveurs IRC pour mettre de garder le contrôle si l'un d'eux tombent.
Le modèle ci-dessus est simple mais cela peut devenir plus compliqué, les grands botnets (Rustock, Cutwail etc) sont bien plus compliqués.
Certains utilisent le protocole HTTP et bien souvent via des connexions cryptées.
Le contrôle des machines peuvent alors se faire via des interfaces WEB, exemple ci-dessous avec le botnet Zeus/Zbot.
Toujours du côté Zbot, Le panel iFrame & Checker qui permet de contrôler une campagne Zbot.
Les informations volés (comptes FTP, SSH etc) sont réutilisés pour hoster les malwares. Des mails sont envoyés qui conduisent vers des exploitskits qui téléchargent les Zbots hostés sur les machines compromises.
iFrame & Checker :Inside a Zbot crimeware campaign
Un lien vers les features du C&C de Spyeye : http://http://www.malekal.com/2011/08/2 ... derground/
BackDoor.Proxybox : Votre PC transformé en proxy : http://www.malekal.com/2012/09/27/backd ... -en-proxy/
Le PC est transformé en proxy qui peut être revendu dans le milieux underground.
SmokeBot / Andromeda / Gamarue : http://www.malekal.com/2012/01/12/wormw ... e-stealer/
Le bot Zhelatin/Storm Worm lui n'a pas de serveurs centralisés, ils fonctionnent sur le schéma P2P, chaque PC infecté fait office de serveur et client et tous les PC conversent entre eux. Il est alors impossible de couper "la tete" qui donne les ordre du réseau rendant la mise hors tension du botnet bien plus difficile.
Une fois le PC infecté et faisant parti d'un botnet, de nouveaux malwares sont téléchargés et installés soit :
- Pour monétiser, généralement ce sont des malwares qui ont donc pour but de permettre l'envoi de mail de SPAM, voler des informations (Stealer) ou faire installer des rogues
- Soit le même malware afin de le mettre à jour pour échapper aux détections antivirus.
- Soit un malware d'une autre famille faisant parti d'un autre botnet.
Conclusion
Un PC zombi est donc un PC contrôlé à distance, le pirate peut faire exactement ce qu'il lui plait à l'insu du propriétaire du PC.
Le pirate peut alors faire télécharge des Adwares sur les PC infectés afin de gagner de l'argent via les publicités ouvertes sur le PC infectés.
Le pirate peut envoyer des mails de SPAM, sous-louer une partie du botnet pour des campagnes d'attaques etc.
Bref le PC infecté est un PC soldat, plus le pirate a de PC à sa disposition, plus il gagne de l'argent.
Pour aller plus loin, ou si la sécurité vous interresse, voici des documents/reportages sous forme de vidéos :
