Operation de shutdown de botnets Gamarue (Andromeda bot)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90540
Inscription : 10 sept. 2005 13:57
Contact :

Operation de shutdown de botnets Gamarue (Andromeda bot)

Message par Malekal_morte » 30 déc. 2017 19:24

Gamarue (aka Andromeda bot) est un trojan stealer assez évolué qui est encore relativement utilisé.
Courant Décembre, une opération massive impliquant Microsoft, Eset, Coordinated Malware Eradication (CME) visant des botnets du Trojan Gamarue a eu lieu.

Voici les statistiques de l'opération :
  • 1,214 domaines et IP utilisés comme C&C pour les botnets
  • 464 botnets distincts
  • plus de 80 familles de malwares sont associés à ces botnets
Quelques informations ont été partagées sur cette opération et ces botnet Gamarue.

Présentation du malware et opération contre Gamarue

Le malware Andromeda se présente sous la forme d'un kit vendu dans le milieu underground sous la forme :
  • Bot-builder : permet de créer le binaire malveillant et d'infecter les ordinateurs
  • Command-and-control application (C&C) : sous la forme d'un site en PHP qui permet de gérer le botnet et contrôler les ordinateurs infectés. Un aperçu de ce dernier est disponible sur la page suivante : https://www.malekal.com/?p=10641
  • Documentation pour créer son botnet
Une présentation du cheval de troie Andromeda / Gamartue est disponible sur le site : Worm:Win32/Gamarue et Andromeda / SmokeBot: stealer.
Il s'agit d'un malware utilisant des injections de processus comme wuauclt.exe, wupgrade.exe, svchost.exe (version 2.06) ou encore msiexec.exe (Gamarue versions 2.07 à 2.10).
Le cheval de troie est aussi connu pour désactier le pare-feu de Windows ainsi que Windows Update afin d'affaiblir l'ordinateur infecté.

Gamarue comme la plupart des cheval de troie évolué est modulaire, à partir de plugins que l'on peut acheter, vous pouvez étendre les fonctionnalités du trojan.
On trouve ainsi les plugins suivants :
  • Keylogger ($150) – pour enregistgrer les frappes claviers et récupérer des mots de passe, compte internet et autres.
  • Rootkit – permet de cacher le processus du malware pour permettre une meilleure persistence.
  • Socks4/5 – l'ordinateur infecté agit comme un proxy ce qui peut permettre à d'autres pirates de cacher sur internet en utilisant ce dernier. Cette activité peut servir pour monétiser le botnet.
  • Formgrabber ($250) – Capture les données des formulaires à partir des navigateurs internet envoyées aux serveurs (fonctionnalité de Trojan Stealer)
  • Teamviewer ($250) – l'ordinateur peut-être contrôlé à distance : capture d'écran, bouger la souris, envoyer/supprimer des fichiers etc.
  • Spreader – Donne la possibilité aux malware de se propager via les médias amovibles : Virus par clé USB
On voit donc clairement que le Trojan est pensé pour voler le plus de données possible sur l'ordinateur tout en permettant le contrôle de l'ordinateur pour agir en tant que botnet.
Outre les méthodes citées ci-dessus, les botnet Gamarue peuvet être monétiser pour installer d'autres malwares.
80 familles de malwares différentes ont été ainsi installeés, parmi elles
  • Petya (ransomware)
  • Cerber (ransomware)
  • Troldesh (ransomware)
  • Ursnif (info-stealing and banking trojan)
  • Carberp (info-stealing and banking trojan)
  • Fareit (info-stealing and DDoS malware)
  • Kasidet (worm and DDoS malware)
  • Lethic (spam bot)
  • Cutwail (spam bot)
  • Neurevt (click-fraud malware)
  • Ursnif (click-fraud malware)
  • Fynloski (backdoor)
Depuis 2011, Gamarue a été en lien avec différentes autres familles de malwares dont : Méthode de propagation du Trojan Gamarue

Les méthodes de propagation de ce cheval de troie, on retrouve les méthodes classiques comme :
  • Attaque les médias amovibles : Virus par clé USB
  • Capable d'attaquer les réseaux sociaux (comme Facebook), des messages incluant des liens vers le Trojan Gamarue sont envoyés pour infecter de nouveaux internautes.
  • peut être propager par des exploits WEB
  • Des emails malveillants
  • Trojan downloaders
gamarue-attack-kill-chain.png
répartition des botnet Gamarue / Andromeda


Informations et répartitions des botnets Gamarue

Un malware encore très actif.
Durant les six derniers mois, le trojan Gamarue a été détecté sur environ 1,095,457 machines chaque mois.
monthly-gamarue-andromeda-encounters.png
Détection Gamarue par mois
monthly-gamarue-andromeda-encounters.png (6.38 Kio) Consulté 371 fois
Côté répartition géographique, l'inde, l'indonésie et la turquie sont les plus visés.
L'Asie arrive donc loin devant sur les pays visés.
botnet-gamarue-geo-chart.png
répartition des botnet Gamarue / Andromeda
botnet-gamarue-geo-repartition.png
chaine d'attaque de Gamarue / Andromeda
botnet-gamarue-geo-repartition.png (6.93 Kio) Consulté 371 fois
source : https://blogs.technet.microsoft.com/mmp ... andromeda/


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »