Les machines zombies / botnets

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Les machines zombies / botnets

par Malekal_morte »

Les "machines zombies" ou "zombies" sont des terminaux infectés connectés à internet.
Ces réseaux de zombies constitue ce que l'on nomme aussi comme étant un "botnet".

Un dossier plus récent est présent sur la page : Les botnets : réseau de machines infectées.

Ces derniers permettent : Les zombies sont sujets :
  • aux vols d'identifiants ( mots de passe Paypal, jeux en ligne, comptes de forums ou sites, .. ),
  • aux vols de d'informations ou de données bancaires,
  • aux enregistrements des frappes du clavier,
  • aux enregistrements audios / vidéos,
  • aux adwares ( publicités ),
  • ... à tout.
On comprends bien pourquoi le mot "zombie" est utilisé !

En général, les opérateurs sont payés afin d'effectuer certaines tâches avec un botnet (spammer, scanner, attaquer, monétiser, ..). Ils peuvent aussi sous-louer à un tiers une partie du botnet pour d'autres activités illégales. C'est un business qui repose sur les systèmes informatiques des internautes infectés.

Ces infections se font généralement par des trojans et/ou une porte dérobée (backdoor). Les systèmes les plus touchés sont bien sûr les Windows qui sont mal protégés (pas d'antivirus ou pas à jour et pas de firewall). Pour plus d'informations sur la sécurisation : Lire Sécuriser son Windows.

Certains malwares / virus se connectent à des réseaux IRC (ce sont des serveurs de discussions). Des commandes peuvent ainsi être envoyées depuis des canaux dit de "contrôle" via IRC. Celles-ci seront interprétées uniquement par les zombies. Exemple : !flood va lancer des attaques par saturations.

Côté business, il y a des services de botnets avec un support technique. Dans l'annonce suivante. Un service d'hébergement bulletproof (c'est à dire que l'hébergeur ferme les yeux sur le contenu malicieux) + protections pour ne pas que les antivirus détectent le malware / virus + des méthodes pour les distribuer... ne coûtera que 49$.
Red_Wine_Botnet_Setup.png
Pour avoir un aperçu des virus IRC créant des botnets, lire https://www.malekal.com/virusIRC.html

Sur cette capture, dans la liste de droite, on voit des Windows infectés transformés en zombies.
On voit ici qu'un opérateur a lancé une attaque vers la pauvre adresse IP turque : 85.103.38.108

Image

Sur cette capture d'écran, les zombies partent à l'assaut d'autres serveurs IRC (mircindir.net / undernet) afin d'envoyer des messages de SPAM avec des adresses web turques : http://kis-msn.gen.tr/ Si un utilisateur recevant le message visite et exécute l'un des fichiers de ce site, il sera probablement infecté et son Windows s'ajoutera à la longue liste de ceux déjà contrôlés.

Image

Autre exemple ci-dessous avec les infections MSN. La capture d'écran ci-dessous montre des zombies qui joignent le canal de commande et de contrôle (C&C). Les Windows sont identifiés par pays : FRA (France), SWE (Suède), BEL (Belgique) etc.

Le titre du canal ( topic ) sert ici à envoyer les commandes aux zombies pour, entre autre, répandre l'infection. On voit le message avec le lien qui sera envoyé aux contacts MSN des Windows infectés. Si un des contacts ouvre le lien reçu et l'exécute, il sera à son tour infecté et rejoindra un botnet.

Image

Autre exemple avec ce malwares / virus : http://forum.malekal.com/http-www-alarm ... 26929.html. Celui-ci est en autre capable de dérober des informations. Par exemple, il vol les numéros de séries et les clefs de certains produits installés sur le Windows de ses victimes.

Image

Il chourave aussi des identifiants de comptes en ligne (sites, forums, emails..) et chaparde les comptes bancaires.

Image

Autres explications et exemples avec le couteau suisse : Backdoor.IRC. Notez qu'il existe des backdoors IRC pour serveur web ou encore backdoors Linux.

Image

Autre cas avec un pirate qui infecte des serveurs web : JB Botnet : Perl.Shellbot by Shellshock Bash Attack. Ce dernier utilise les machines pour envoyer des pourriels (spams) via des scripts PHP qu'il dépose sur le serveur de la victime.

Image

C'est de l'hameçonnage (phishing) sur des entités espagnoles, il a parfois envoyé du phishing Apple.

Image

Vous avez aussi des cas de RAT/ Bifrose.

Sur cette vidéo, on voit le vol des mots de passe et l'accès aux sites web :



Dans les exemples ci-dessus, les zombies se connectent à un serveur central IRC. Si le serveur IRC tombe, les zombies ne pourront plus être contrôlés ( bien que les victimes reste quant à elles infectées ). Par conséquent, la ruse consiste à gérer une liste de plusieurs serveurs IRC desfois que l'un d'eux serait en panne ou hors service. Ce principe est simple à comprendre mais parfois ça peut devenir plus compliqué, les grands botnets (Rustock, Cutwail etc) sont bien plus compliqués. Les codes plus sophistiqués et notamment les Trojan Banker utilisent d'autres méthodes. Certains utilisent le protocole https et bien souvent avec des connexions cryptées. Le contrôle des machines peuvent alors se faire via des interfaces web, comme ci-dessous avec Zeus/Zbot.

Image

Toujours du côté Zbot, le panel iFrame & Checker permette de simplifier le contrôle des campagnes. Les informations volés (comptes FTP, SSH, etc) sont réutilisés pour héberger les malwares / virus. Des pourriels sont massivement envoyés qui conduisent vers desexploits kits qui téléchargent d'autres Zbot hébergés sur d'autres machines elles aussi compromises.

Image

Un lien vers les options du C&C de Spyeye.

Image

Image

BackDoor.Proxybox transforme un Windows en relai (proxy). Celui-ci sera peut-être revendu aux plus offrants dans les milieux underground.

Image

SmokeBot / Andromeda / Gamarue

Image

Zhelatin/Storm Worm lui n'a pas de serveurs centralisés, ils fonctionnent sur un schéma P2P. Chaque Windows infecté fait office de mini serveur ou de mini client et tous conversent entre eux. Il devient alors très difficile de décapiter définitivement le botnet.

Conclusion

Un zombie est donc une terminal contrôlé à distance à l'insu du propriétaire : dès lors tout est possible. Téléchargements d'autres maliciels, lectures, exécutions, destructions,... Une partie des pourriels ( spam ) provient parfois de sous-locations d'une partie d'un botnet. Bref, pour le criminel, plus il y a de zombies plus il a de chances de gagner rapidement de l'argent.

Pour aller plus loin, ou si la sécurité vous intéresse, voici des documents/reportages en vidéos : Liens connexes (ѠOOT):
Kaspersky explique le principe de la monétisation des botnets
Trend-Micro se penche sur le modèle économique des botnets
https://thisissecurity.net/2016/04/12/g ... cript-too/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Les PC Zombis / botnet

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Les PC Zombis / botnet

par Malekal_morte »

Une petite vidéo qui illustre la monétisation d'un botnet. Ce botnet est Cutwail aka Pandex, connu pour être utilisé pour envoyer des tonnes de mails de SPAM sur la planète. Il est depuis quelques années un des plus actifs !



Dans la partie haute on peux voir une instance de "svchost.exe" envoyant les mails de SPAM (connexion SMTP). Dans la partie du bas, vous avez la boite de réception qui intercepte les mails envoyés. Comme on peux le voir les mails se ressemblent, en réalité, le contenu des messages, les adresse de l'expéditeur, sujet etc sont pris dans des listes. Un Windows infecté est donc utilisé pour envoyer des pourriels (spam) d'une campagne précise. Ceci est dû au fait que le botnet est segmenté et sous-loué à un même groupe.

Des campagnes pour des flacons de pilules de Viagra et/ou Cialis. Ils utilisent aussi des campagnes à court terme selon les actualités. Par exemple, dernièrement des ventes de billets pour l'Eurovision (qui a eu lieu en Russie) pour des entreprises russes (En Russie, le spam est légal).

On peux aussi avoir un ordre d'idée du volume de spam envoyé par ce botnet. Grosso modo c'est de l'ordre du 100 pourriels par minute pour un seul Windows infecté. Le botnet Cutwail est connu pour avoir une taille d'environ 100000 machines ce qui revient à une capacité d'environ 10000000 pourriels / minute !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Les PC Zombis / botnet

par Malekal_morte »

Autre exemple avec Glupteba qui se propage via des kits d'exploitations de vulnérabilités.
Lire: Operation Windigo : Linux/Ebury et Linux/Cdorked

Il se connecte au serveur de contrôle sur le port 444, il attends les ordres et les tâches à effectuer..

Image

Puis il se met en route pour effectuer les opérations "discrètement, en fond".

Par exemple, ci-dessous une tentative d'authentification BruteForce sur un site :
Image

Enregistrements de plusieurs bots de spam sur un forum :
Image
Image

Spam pour du Viagra / Cialis sur des sites infectés ( la plupart sont des CMS WordPress )

Image
Image
Image
Image
Image
Image

Mais Glupteba sait aussi exploiter des failles de type injections SQL.

Image
Image

Dans les captures ci-dessus, on peut aussi apercevoir des opérations effectuées sur les sites de steaming. Il est très probable que ça soit des cibles réelles dans un futur proche. Glupteba sait aussi appliquer des traitements lui permettant d'augmenter le ranking de certains sites visés. On nomme cette technique du Black SEO. Glupteba effectue aussi des tentatives de connexions à des webmails. En somme, les opérations effectuées ne sont pas brutales mais assez étalées / diversifiées. Peut-être pour ne pas éveiller les soupçons et penser l'avenir ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »