Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Operation de shutdown de botnets Gamarue (Andromeda bot)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 102172
Inscription : 10 sept. 2005 13:57
Contact :

Operation de shutdown de botnets Gamarue (Andromeda bot)

Message par Malekal_morte »

Gamarue (aka Andromeda bot) est un trojan stealer assez évolué qui est encore relativement utilisé.
Courant Décembre, une opération massive impliquant Microsoft, Eset, Coordinated Malware Eradication (CME) visant des botnets du Trojan Gamarue a eu lieu.

Voici les statistiques de l'opération :
  • 1,214 domaines et IP utilisés comme C&C pour les botnets
  • 464 botnets distincts
  • plus de 80 familles de malwares sont associés à ces botnets
Quelques informations ont été partagées sur cette opération et ces botnet Gamarue.

Présentation du malware et opération contre Gamarue

Le malware Andromeda se présente sous la forme d'un kit vendu dans le milieu underground sous la forme :
  • Bot-builder : permet de créer le binaire malveillant et d'infecter les ordinateurs
  • Command-and-control application (C&C) : sous la forme d'un site en PHP qui permet de gérer le botnet et contrôler les ordinateurs infectés. Un aperçu de ce dernier est disponible sur la page suivante : https://www.malekal.com/?p=10641
  • Documentation pour créer son botnet
Une présentation du cheval de troie Andromeda / Gamartue est disponible sur le site : Worm:Win32/Gamarue et Andromeda / SmokeBot: stealer.
Il s'agit d'un malware utilisant des injections de processus comme wuauclt.exe, wupgrade.exe, svchost.exe (version 2.06) ou encore msiexec.exe (Gamarue versions 2.07 à 2.10).
Le cheval de troie est aussi connu pour désactier le pare-feu de Windows ainsi que Windows Update afin d'affaiblir l'ordinateur infecté.

Gamarue comme la plupart des cheval de troie évolué est modulaire, à partir de plugins que l'on peut acheter, vous pouvez étendre les fonctionnalités du trojan.
On trouve ainsi les plugins suivants :
  • Keylogger ($150) – pour enregistgrer les frappes claviers et récupérer des mots de passe, compte internet et autres.
  • Rootkit – permet de cacher le processus du malware pour permettre une meilleure persistence.
  • Socks4/5 – l'ordinateur infecté agit comme un proxy ce qui peut permettre à d'autres pirates de cacher sur internet en utilisant ce dernier. Cette activité peut servir pour monétiser le botnet.
  • Formgrabber ($250) – Capture les données des formulaires à partir des navigateurs internet envoyées aux serveurs (fonctionnalité de Trojan Stealer)
  • Teamviewer ($250) – l'ordinateur peut-être contrôlé à distance : capture d'écran, bouger la souris, envoyer/supprimer des fichiers etc.
  • Spreader – Donne la possibilité aux malware de se propager via les médias amovibles : Virus par clé USB
On voit donc clairement que le Trojan est pensé pour voler le plus de données possible sur l'ordinateur tout en permettant le contrôle de l'ordinateur pour agir en tant que botnet.
Outre les méthodes citées ci-dessus, les botnet Gamarue peuvet être monétiser pour installer d'autres malwares.
80 familles de malwares différentes ont été ainsi installeés, parmi elles
  • Petya (ransomware)
  • Cerber (ransomware)
  • Troldesh (ransomware)
  • Ursnif (info-stealing and banking trojan)
  • Carberp (info-stealing and banking trojan)
  • Fareit (info-stealing and DDoS malware)
  • Kasidet (worm and DDoS malware)
  • Lethic (spam bot)
  • Cutwail (spam bot)
  • Neurevt (click-fraud malware)
  • Ursnif (click-fraud malware)
  • Fynloski (backdoor)
Depuis 2011, Gamarue a été en lien avec différentes autres familles de malwares dont : Méthode de propagation du Trojan Gamarue

Les méthodes de propagation de ce cheval de troie, on retrouve les méthodes classiques comme :
  • Attaque les médias amovibles : Virus par clé USB
  • Capable d'attaquer les réseaux sociaux (comme Facebook), des messages incluant des liens vers le Trojan Gamarue sont envoyés pour infecter de nouveaux internautes.
  • peut être propager par des exploits WEB
  • Des emails malveillants
  • Trojan downloaders
répartition des botnet Gamarue / Andromeda
répartition des botnet Gamarue / Andromeda


Informations et répartitions des botnets Gamarue

Un malware encore très actif.
Durant les six derniers mois, le trojan Gamarue a été détecté sur environ 1,095,457 machines chaque mois.
Détection Gamarue par mois
Détection Gamarue par mois
monthly-gamarue-andromeda-encounters.png (6.38 Kio) Consulté 842 fois
Côté répartition géographique, l'inde, l'indonésie et la turquie sont les plus visés.
L'Asie arrive donc loin devant sur les pays visés.
répartition des botnet Gamarue / Andromeda
répartition des botnet Gamarue / Andromeda
chaine d'attaque de Gamarue / Andromeda
chaine d'attaque de Gamarue / Andromeda
botnet-gamarue-geo-repartition.png (6.93 Kio) Consulté 842 fois
source : https://blogs.technet.microsoft.com/mmp ... andromeda/
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Actualité & News Informatique »