Les PC Zombis / botnet

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.

Les PC Zombis / botnet

Messagede Malekal_morte » 23 Sep 2006 13:47

Les PC zombis sont des ordinateurs connectés à internet qui sont infectés par des malwares. Ces derniers sont contrôlés par des pirates, en général, afin :
  • d'envoyer des mails de spams - Ces mails de spams peuvent être utilisés pour effectuer des attaques de phising.
  • effectuer des attaques de type DDOS.
  • scanner des réseaux via des PC du botnet afin de découvrir des vulnérabilités et effectuer des attaques.
  • propager de nouvelles infections.

La machine étant à la merci des pirates, il est aussi possible de :

  • récupérer les mots de passe Paypal, jeux en ligne pour les revendre, éventuellement des comptes de forums, sites WEB ou autres si les sites peuvent interresser le pirate.
  • installer des adwares qui vont ouvrir des popups de publicité afin de rémunérer les pirates via votre PC.
  • installer d'autres malwares (pour les faire rentrer dans un autre botnet) ou mettre à jour les infections pour échapper à la détection des antivirus.

En général, le pirate est payé afin d'effectuer certains opérations avec son botnet (spammer, attaque DDoS), il peut aussi sous-loué une partie du botnet.
Les botnets sont donc un business dont les PC des internautes en sont le moteur.
(voir la page Business malwares : le Pourquoi des infections)

Les infections se font généralement par des chevaux de troies et une backdoor (porte dérobée). Les PC les plus touchés sont bien sûr les PC qui ne sont pas protégés (pas d'antivirus ou pas à jour mais surtout pas de firewall). Pour plus d'informations sur la sécurisation de votre ordinateur : Sécuriser son ordinateur et connaître les menaces

Le top des pays d'où proviennent les PC Zombis : http://www.ciphertrust.com/resources/st ... zombie.php
(bien que cette étude aurait été vraiment intérressante, si le nombre de PC zombis avaient été ramené au nombre de connexion haut débit).

Certains malwares connectent à l'insu de l'utilisateur le PC à des réseaux IRC (ce sont des serveurs qui permettent de "chatter" comme voila). A partir de channel dit de "contrôle", le pirate peut contrôler les PC zombis, on parle alors de bots IRC.
Le pirate peut lancer des commandes qui seront interprétées par ces bots comme par exemple : !flood afin de lancer des attaques.

Concrètement à partir du réseau IRC et via le client IRC, le pirate peut contrôler votre ordinateur.

Vous pouvez vous rendre à cette page pour avoir un aperçu des Virus IRC créant des botnet : http://www.malekal.com/virusIRC.html

Sur cette capture, on peut voir les bots (PC zombis) dans la liste de droite. On voit ici que les pirates ont lancé une attaque vers l'IP 85.103.38.108

Image

Sur cette capture, les pirates lancent les bots à l'assaut de serveurs IRC (mircindir.net / undernet) afin d'envoyer des messages de SPAM avec des adresses WEB : http://kis-msn.gen.tr
Si un utilisateur recevant ces messages ouvre ce site et exécute l'un des fichiers de ce site, il sera probablement infecté et son ordinateur s'ajoutera à la longue liste des ordinateurs contrôlés par ces pirates.

Image


Autre exemple ci-dessous avec les infections MSN.
La capture ci-dessous montre les PC Zombis qui joignent le channel, les machines sont identifiés par pays : FRA (France), SWE (Suède), BEL (Belgique) etc.

Le message d'accueil du channel (topic) est utilisé pour envoyer les commandes aux PC Zombis pour entre autre répandre l'infection, on voit le message avec le lien contenant le malware qui sera envoyé aux contacts MSN des PC infectés.
Si un des contacts ouvre le lien reçu et executé, il est à son tour infecté et rejoint les autres PC Zombis.

Image

Dans les exemples ci-dessus, les PC Zombis se connectent à un serveur central IRC.
Si le serveur IRC tombe, les PC zombis ne sont plus sous contrôle (ils sont encore infectés mais la connexion au serveur IRC ne se fait plus et il n'est plus possible de donner des ordre).
Certains infections effectuent des connexions à plusieurs serveurs IRC pour mettre de garder le contrôle si l'un d'eux tombent.
Le modèle ci-dessus est simple mais cela peut devenir plus compliqué, les grands botnets (Rustock, Cutwail etc) sont bien plus compliqués.
Certains utilisent le protocole HTTP et bien souvent via des connexions cryptées.
Le contrôle des machines peuvent alors se faire via des interfaces WEB, exemple ci-dessous avec le botnet Zeus/Zbot.

Image

Le bot Zhelatin/Storm Worm lui n'a pas de serveurs centralisés, ils fonctionnent sur le schéma P2P, chaque PC infecté fait office de serveur et client et tous les PC conversent entre eux. Il est alors impossible de couper "la tete" qui donne les ordre du réseau rendant la mise hors tension du botnet bien plus difficile.

Une fois le PC infecté et faisant parti d'un botnet, de nouveaux malwares sont téléchargés et installés soit :
  • Pour monétiser, généralement ce sont des malwares qui ont donc pour but de permettre l'envoi de mail de SPAM, voler des informations (Stealer) ou faire installer des rogues
  • Soit le même malware afin de le mettre à jour pour échapper aux détections antivirus.
  • Soit un malware d'une autre famille faisant parti d'un autre botnet.

Voici une image qui montre les interractions entre les divers botnets (merci Gof) - source : http://twitter.com/MalwareScene

Image

Conclusion

Un PC zombi est donc un PC contrôlé à distance, le pirate peut faire exactement ce qu'il lui plait à l'insu du propriétaire du PC.
Le pirate peut alors faire télécharge des Adwares sur les PC infectés afin de gagner de l'argent via les publicités ouvertes sur le PC infectés.
Le pirate peut envoyer des mails de SPAM, sous-louer une partie du botnet pour des campagnes d'attaques etc.

Bref le PC infecté est un PC soldat, plus le pirate a de PC à sa disposition, plus il gagne de l'argent.
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 44611
Inscription: 10 Sep 2005 13:57

Re: Les PC Zombis / botnet

Messagede Malekal_morte » 20 Mai 2008 23:32

Une page intéressante du laboratoire Kaspersky qui explique le but, le fonctionnement et le danger des réseaux de zombis à l'heure actuelle : http://www.viruslist.com/fr/analysis?pubid=200676152

Know your Enemy: Tracking Botnets : http://www.honeynet.org/papers/bots/
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 44611
Inscription: 10 Sep 2005 13:57

Re: Les PC Zombis / botnet

Messagede Malekal_morte » 10 Mai 2009 18:46

Une petite vidéo qui illustre la monétisation d'un botnet.
Ce botnet (Cutwail aka Pandex) est connu pour être utilisé pour envoyer des mails de SPAM, il est depuis quelques années un des plus actifs.

Voici le lien de la vidéo en téléchargement direct : http://www.malekal.com/fichiers/spyware ... ilspam.avi
(Merci à angelique pour la musique D)



Dans la partie haute on peux voir une instance de svchost.exe envoyant les mails de SPAM (connexion SMTP).
Dans la partie du bas, vous avez la boite de réception qui intercepte les mails envoyés.

Comme on peux le voir les mails se ressemblent, en réalité, le contenu des messages, les adresse de l'expéditeur, sujet etc sont pris dans des listes.
Une machine infectée est donc utilisé pour envoyer des mails de SPAM d'une campagne précise. Ceci est dû au fait que le botnet est segmenté et sous-loué à un même groupe.

On peux donc avoir des campagnes pour du viagra ou des campagnes à court terme selon l'actualité. Par exemple, dernièrement une campagne de ventes de billets de l'eurovision (qui a eu lieu en Russie) pour des entreprises russes (En russie le SPAM est autorisé).

On peux aussi avoir un ordre d'idée du volume de SPAM envoyé par ce botnet, grosso modo le nombre de mails est de 100 mails par minute pour une machine.
Le botnet Cutwail est connu pour avoir une taille d'environ 100 000 machines ce qui donne une capacité d'environ 10 000 000 de mails par minute.
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 44611
Inscription: 10 Sep 2005 13:57

Re: Les PC Zombis / botnet

Messagede Malekal_morte » 27 Aoû 2009 17:33

Un autre article de Kaspersky sur la monétisation des botnet : http://www.viruslist.com/fr/analysis?pubid=200676201
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)
Marre des Virus? Passez à GNU/Linux!
Soutenez malekal.com en effectuant un don!
Image
- spamhere-@wanadoo.fr - http://fofo.dyndns.org

* Ce n'est pas parce que les lendemains qui devaient chanter ont déchanté que le futur s'écrit au passé *
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 44611
Inscription: 10 Sep 2005 13:57


Retourner vers Sécurité : Prévention, virus & arnaques et dangers d'Internet

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

Partenaires du site : Geekeden - OxygenePC.com - Les partenaires du site
Hadopi vous surveille McAfee you Suck Securiser votre ordinateur contre les menaces