Ces réseaux de zombies constitue ce que l'on nomme aussi comme étant un "botnet".
Un dossier plus récent est présent sur la page : Les botnets : réseau de machines infectées.
Ces derniers permettent :
- D'envoyer des pourriels ( spam ) ou faire du phishing, .. Pour identifier une machine qui spam sur un réseau, lire Comment identifier une machine qui spam sur un réseau,
- D'effectuer des attaques ( DDoS ),
- Scanner des réseaux afin de découvrir et d'exploiter des vulnérabilités,
- De mettre à jour et/ou de distribuer de nouvelles infections.
- aux vols d'identifiants ( mots de passe Paypal, jeux en ligne, comptes de forums ou sites, .. ),
- aux vols de d'informations ou de données bancaires,
- aux enregistrements des frappes du clavier,
- aux enregistrements audios / vidéos,
- aux adwares ( publicités ),
- ... à tout.
En général, les opérateurs sont payés afin d'effectuer certaines tâches avec un botnet (spammer, scanner, attaquer, monétiser, ..). Ils peuvent aussi sous-louer à un tiers une partie du botnet pour d'autres activités illégales. C'est un business qui repose sur les systèmes informatiques des internautes infectés.
Ces infections se font généralement par des trojans et/ou une porte dérobée (backdoor). Les systèmes les plus touchés sont bien sûr les Windows qui sont mal protégés (pas d'antivirus ou pas à jour et pas de firewall). Pour plus d'informations sur la sécurisation : Lire Sécuriser son Windows.
Certains malwares / virus se connectent à des réseaux IRC (ce sont des serveurs de discussions). Des commandes peuvent ainsi être envoyées depuis des canaux dit de "contrôle" via IRC. Celles-ci seront interprétées uniquement par les zombies. Exemple : !flood va lancer des attaques par saturations.
Côté business, il y a des services de botnets avec un support technique. Dans l'annonce suivante. Un service d'hébergement bulletproof (c'est à dire que l'hébergeur ferme les yeux sur le contenu malicieux) + protections pour ne pas que les antivirus détectent le malware / virus + des méthodes pour les distribuer... ne coûtera que 49$.
Pour avoir un aperçu des virus IRC créant des botnets, lire https://www.malekal.com/virusIRC.html
Sur cette capture, dans la liste de droite, on voit des Windows infectés transformés en zombies.
On voit ici qu'un opérateur a lancé une attaque vers la pauvre adresse IP turque : 85.103.38.108
![Image](https://www.malekal.com/fichiers/forum/PCZombies.png)
Sur cette capture d'écran, les zombies partent à l'assaut d'autres serveurs IRC (mircindir.net / undernet) afin d'envoyer des messages de SPAM avec des adresses web turques : http://kis-msn.gen.tr/ Si un utilisateur recevant le message visite et exécute l'un des fichiers de ce site, il sera probablement infecté et son Windows s'ajoutera à la longue liste de ceux déjà contrôlés.
![Image](https://www.malekal.com/fichiers/forum/PCZombies2.png)
Autre exemple ci-dessous avec les infections MSN. La capture d'écran ci-dessous montre des zombies qui joignent le canal de commande et de contrôle (C&C). Les Windows sont identifiés par pays : FRA (France), SWE (Suède), BEL (Belgique) etc.
Le titre du canal ( topic ) sert ici à envoyer les commandes aux zombies pour, entre autre, répandre l'infection. On voit le message avec le lien qui sera envoyé aux contacts MSN des Windows infectés. Si un des contacts ouvre le lien reçu et l'exécute, il sera à son tour infecté et rejoindra un botnet.
![Image](https://www.malekal.com/fichiers/spywares/PCZombies3.png)
Autre exemple avec ce malwares / virus : http://forum.malekal.com/http-www-alarm ... 26929.html. Celui-ci est en autre capable de dérober des informations. Par exemple, il vol les numéros de séries et les clefs de certains produits installés sur le Windows de ses victimes.
![Image](https://www.malekal.com/fichiers/spywares/PCZombies_SpanishIRCBot.png)
Il chourave aussi des identifiants de comptes en ligne (sites, forums, emails..) et chaparde les comptes bancaires.
![Image](https://www.malekal.com/fichiers/spywares/PCZombies_SpanishIRCBot2.png)
Autres explications et exemples avec le couteau suisse : Backdoor.IRC. Notez qu'il existe des backdoors IRC pour serveur web ou encore backdoors Linux.
![Image](https://www.malekal.com/wp-content/uploads/BoSSaBoTv2_ircbackdoor6.png)
Autre cas avec un pirate qui infecte des serveurs web : JB Botnet : Perl.Shellbot by Shellshock Bash Attack. Ce dernier utilise les machines pour envoyer des pourriels (spams) via des scripts PHP qu'il dépose sur le serveur de la victime.
![Image](https://www.malekal.com/wp-content/uploads/JB_Backdoor_Perl_phishing.png)
C'est de l'hameçonnage (phishing) sur des entités espagnoles, il a parfois envoyé du phishing Apple.
![Image](https://www.malekal.com/wp-content/uploads/JB_Backdoor_Perl_phishing_3.png)
Vous avez aussi des cas de RAT/ Bifrose.
Sur cette vidéo, on voit le vol des mots de passe et l'accès aux sites web :
Dans les exemples ci-dessus, les zombies se connectent à un serveur central IRC. Si le serveur IRC tombe, les zombies ne pourront plus être contrôlés ( bien que les victimes reste quant à elles infectées ). Par conséquent, la ruse consiste à gérer une liste de plusieurs serveurs IRC desfois que l'un d'eux serait en panne ou hors service. Ce principe est simple à comprendre mais parfois ça peut devenir plus compliqué, les grands botnets (Rustock, Cutwail etc) sont bien plus compliqués. Les codes plus sophistiqués et notamment les Trojan Banker utilisent d'autres méthodes. Certains utilisent le protocole https et bien souvent avec des connexions cryptées. Le contrôle des machines peuvent alors se faire via des interfaces web, comme ci-dessous avec Zeus/Zbot.
![Image](https://www.malekal.com/fichiers/spywares/PCZombiePanel.png)
Toujours du côté Zbot, le panel iFrame & Checker permette de simplifier le contrôle des campagnes. Les informations volés (comptes FTP, SSH, etc) sont réutilisés pour héberger les malwares / virus. Des pourriels sont massivement envoyés qui conduisent vers desexploits kits qui téléchargent d'autres Zbot hébergés sur d'autres machines elles aussi compromises.
![Image](https://www.malekal.com/wp-content/uploads/iframechecker_FTP.png)
Un lien vers les options du C&C de Spyeye.
![Image](https://www.malekal.com/wp-content/uploads/Spyeeye_CC.png)
![Image](https://www.malekal.com/wp-content/uploads/Spyeeye_CC2.png)
BackDoor.Proxybox transforme un Windows en relai (proxy). Celui-ci sera peut-être revendu aux plus offrants dans les milieux underground.
![Image](https://www.malekal.com/wp-content/uploads/BackDoor.Proxybox_panel3.png)
SmokeBot / Andromeda / Gamarue
![Image](https://www.malekal.com/wp-content/uploads/Andromeda_Gamarue_Smokebot5.png)
Zhelatin/Storm Worm lui n'a pas de serveurs centralisés, ils fonctionnent sur un schéma P2P. Chaque Windows infecté fait office de mini serveur ou de mini client et tous conversent entre eux. Il devient alors très difficile de décapiter définitivement le botnet.
Conclusion
Un zombie est donc une terminal contrôlé à distance à l'insu du propriétaire : dès lors tout est possible. Téléchargements d'autres maliciels, lectures, exécutions, destructions,... Une partie des pourriels ( spam ) provient parfois de sous-locations d'une partie d'un botnet. Bref, pour le criminel, plus il y a de zombies plus il a de chances de gagner rapidement de l'argent.
Pour aller plus loin, ou si la sécurité vous intéresse, voici des documents/reportages en vidéos :
- 25 ans de malwares et mise à jour du Projet AntiMalwares
- Envoyé Spécial : Cybercriminalité
- Vidéo : La guerre invisible (Arte) - (botnet, etc)
→ Kaspersky explique le principe de la monétisation des botnets
→ Trend-Micro se penche sur le modèle économique des botnets
→ https://thisissecurity.net/2016/04/12/g ... cript-too/