Réseaux ZOMBIES

Réseaux ZOMBIES

Le réseau de zombies ou BOTNET est un réseau d’ordinateurs infectés par un programme malveillant de type Backdoor qui permet au cybercriminel de prendre à distance les commandes des machines infectées (séparément, d’un groupe d’ordinateurs du réseau ou de l’ensemble du réseau). Ces programmes exploitent les failles présentes sur les ordinateurs (Windows, PDF , Flash,Internet Explorer ,Firefox , ….)

L’administration de l’ordinateur infecté par le bot peut être directe ou non. En cas d’administration directe, l’individu mal intentionné peut établir la liaison avec l’ordinateur infecté et l’administrer à l’aide des instructions reprises dans le corps du programme bot. En cas d’administration indirecte, le bot établit lui-même la connexion avec le centre d’administration ou avec d’autres machines du réseau, envoie des requêtes et exécute l’instruction reçue.

Dans les deux cas, le propriétaire de l’ordinateur infecté ne soupçonne même pas que sa machine est utilisée par des individus mal intentionnés. C’est la raison pour laquelle les ordinateurs infectés par un bot , placés sous le contrôle secret des cybercriminels , sont appelés des zombies , de même pour le réseau qu’ils forment . Dans la majorité des cas, les ordinateurs qui figurent dans les réseaux de zombies sont des ordinateurs de particuliers.

Utilisation d’un réseau Zombie

Les individus mal intentionnés et les réseaux cybercriminels peuvent exploiter les réseaux de zombies afin d’effectuer un large éventail de tâches criminelles :

Récolte d’adresse email et Diffusion de courrier indésirable.

Dénie de services.

Proxy .

Vente et location de zombie .

Phishing .

Vol de données confidentielles notamment cartes bancaires.

Principaux Outils BOTNET

les BOTNET internet (Le bot se connecte à un serveur Web déterminé, reçoit les instructions et transmet les données en guise de réponse)

CrimePack , Phoenix , Eleonre , Fragus , Yes Exploit , Siberia , El Fiesta , Icepack , Mpack , WebAttacker, Impassioned , Liberty , Spack Lite ,Neon , Unique , ZoPack , T-IFRAMER , LuckySploit , AdPack, Firepack , Tornado , Armitage , JustExploit , Neosploit , iPack y GOLOD, Napoleon Sploit Bleeding Life , Zombie Kit, Seo Sploit , Lupid ,Nuke sploits p4ck

Statistiques

Selon les chiffres relevés par la Shadowserver Foundation, le nombre de parcs de machines zombies aurait quadruplé en trois mois à peine. Malgré l’effet que représente cette annonce, la fondation indique clairement que le nombre de réseaux est passé d’environ 100 000 à 400 000, bien que les raisons de cette brusque augmentation ne soient pas encore réellement connues.

Selon la méthode utilisée par la fondation, l’activité des adresses IP trouvées et inspectées est enregistrée pour suivre son évolution. Au-delà d’un certain nombre de jours, si rien de spécifique n’a été détecté, l’adresse est considérée comme « saine » à nouveau. Le problème est que bien peu de ces adresses sont revenues à un état normal et seules des conjectures peuvent expliquer la différence.

Il ne peut y avoir que deux causes, et elles ne sont d’ailleurs pas contradictoires : soit les serveurs de contrôle ont appris à mieux retenir les machines infectées pendant que le rythme normal de contamination continuait, soit les attaques sont devenues brusquement plus efficaces. La vérité doit probablement se trouver entre les deux.

Un commentaire de John Bambenek, qui participe à l'Internet Storm Center (cellule de surveillance de la sécurité du Web), relève que l’augmentation importante de réseaux zombies coïncide avec la vague d’attaques de serveurs par injections de code SQL. Les serveurs ainsi compromis auraient alors pu être utilisés ensuite pour répandre la contamination vers davantage de machines.

Il faut tout de même noter que la tendance est par contre de nouveau à la baisse sur le mois d’août.

=====

source

source