TheCricLinks

Je me pose plein de questions, Internet est un moyen d'y répondre

Nom :

La devise de la France est Liberté - Égalité - Fraternité. Cette devise peut et doit nous aider à trouver le bon chemin.

lundi 8 mars 2010

Votre Botnet est mon botnet - Comment détourner un botnet - How to Steal a Botnet (Video Lecture Summary) - UCSB.EDU via catonmat.ne

Les Botnets, réseaux de machines infectées par des chevaux de Troie commandés à distance, sont la cause d'un grand nombre de problèmes de sécurité sur Internet.

Un Botnet particulièrement sophistiqué et insidieux est Torpig (Wikipedia English) , un malware conçu pour collecter les renseignements sensibles de ses victimes comme ceux sur les comptes bancaires et les cartes de crédit. Torpig peut faire varier son comportement en fonction de la demande de ses "clients" ( mafieux, agence de renseignements etc)

Dans ce papier (PDF) publié en novembre 2009 , des chercheurs de l' Université de Californie de Santa Barbara montrent leurs efforts pour prendre le contrôle du botnet Torpig et ainsi étudier les opérations menées par Torpig pendant une période de 10 jours, cela tout en ne renvoyant aucune donnée au BotMaster

Pendant cette période, ils ont observé plus de 180 000 infections et ont enregistré presque 70 gigaoctets de données collectés par les malwares de Torpig.

Quoique d'autres botnets aient été "piratés" et étudiés auparavant, Torpig expose certaines propriétés qui rendent l'analyse de ses données particulièrement intéressantes:

  • Tout d'abord, il est possible (avec une précision raisonnable ) d'identifier des infections uniques dues au botnet et de rattacher celui-ci à plus de 1,2 millions d'adresses IP infectées contactant le serveur de contrôle et de commande des chercheurs.Après analyse ces 1,2 millions d'IP correspondaient à environ 180.000 machines uniques infectées.
  • Deuxièmement, Torpig botnet ratisse large, vise une grande variété d'applications et collecte un riche ensemble de données diverses sur les victimes infectées. L'analyse de ces données permet une meilleure compréhension de la quantité de renseignements personnels volés par les botnets.
Par exemple:

les machines infectés collectaient tous les messages qui passaient. Environ 10 % des messages parlaient de sécurité en étant envoyé par des utilisateurs qui pensait que leur machine était "maintenant" saine.

Le botnet dérouté par les chercheurs pendant dix jours a pu récolter:
  • 415.206 comptes de messagerie entrantPOP
  • 100.472 comptes de messagerie sortant SMTP
  • 54.090 comptes de messageries (hors POP/SMTP)
  • 1.258.862 messages de courrier
  • 11.966,532 données issues de formulaires :
  • 411.039 comptes HTTP
  • 12.307 comptes FTP
  • 1.235,122 mots de passe Windows
  • 8310 comptes (credentials) de 410 institutions financières différentes dont 38% via les gestionnaire de mots de passe des navigateurs des machines infectées.
  • 1660 numéros de Cartes de crédits

Pendant ces dix jours d'analyse, les bots de Torpig ont volés 297.962 identifiants uniques (credential c'est à dire utilisateur + mot de passe ) renvoyés par 52.540 machines. Environ 60.000 machines étaient connectées au botnet à n'importe quel instant.

L'analyse des chercheurs a montrée qu'environ 28% des victimes réutilisaient leurs identifiants (credentials) pour accéder à 368.501 sites web.
__________________________________

Techniquement Torpig est très sophistiqué et réalisé par des professionnels de l'informatique:
  • chaque machine infectée peut être source d'information (en envoyant les données propres à la machine), proxy ou serveur ( de contrôle ou de commande ou bien utilitaire (ex: phishing)).
  • toutes les données récoltées sont chiffrées
  • le botnet peut être mis à jour afin de modifier son comportement
  • L'algorithme pour calculer les noms de domaine des machines où trouver les prochaines commandes est dynamique.
  • Idem pour les machines serveurs sur lesquelles sont générées en dynamique des pages web de phishing. Ces pages web de phishing servent à collecter des informations financières et sont indétectables puisqu'une fois le fishing effectué, la machine infectée retrouve son état normal et que le serveur web de phishing peut disparaître en tant que tel.
  • Plus de 95% des machines étaient potentiellement utilisables pour faire du SPAM et non référencées pas la liste noire de Spamhaus
  • 20% des machines infectées étaient utilisables en tant que serveur.
  • Le cheval de Troie ne prend qu'une partie de la bande passante réseau de la machine infectée afin de ne pas étouffer celle-ci et la puissance cumulée de Torpig pour 60.000 machines correspond à 17 Giga-octets/s de bande passante ce qui permet n'importe quelle attaque réseau du type déni de service distribué
  • Le code déchiffré par les chercheurs était évolutif, commenté, modulaire et réutilisable. Les professionnels apprécieront...
__________________________________

Le rapport en PDF Your Botnet is My Botnet: Analysis of a Botnet Takeover sera intéressant pour tout ceux s'intéresse à ce sujet brulant. La [page web principale de présentation est ici!] .

Les cours enseignés par les même chercheurs sur la sécurité informatique sont [là!] et [là!]

Trouvé via How to Steal a Botnet (Video Lecture Summary) - good coders code, great reuse qui fait en anglais un résumé de la video qui présente le travail des chercheurs ci-dessous:


Plus d'informations sérieuses sur les botnets dans les universités américaines [via Google ici!]

Libellés : , , , ,

0 Comments:

Enregistrer un commentaire

Links to this post:

Créer un lien

<< Home