Jump to content
nabilosdz

Un malware coordonné par un groupe de discussions Google

Recommended Posts

Un malware intéressant a été repéré dans la nature : il s’agit d’un cheval de Troie Windows qui serait utilisé dans des attaques par rebond. Jusqu’ici rien d’original, si ce n’est que le troyen est coordonné au moyen d’une structure « command & control » (« c&c » -- aussi appelé « coordination ») hébergée sur un groupe de discussion Google.

 

Le malware est probablement d’origine chinoise, d’après l’analyse du code-source réalisée par Symantec, ainsi qu’en raison de la langue paramétrée pour le groupe (chinois simplifié – ce qui situerait les auteurs du malware en Chine, et non pas à Taiwan, où le chinois simplifié n’existe pas). Le groupe de discussion Google contient toute une série de messages chiffrés (base64 + RC4), qui contiennent des instructions à exécuter par le troyen ; ces instructions sont des commandes réseau de reconnaissance : résolution DNS, ping, et scan de ports. D’autres commandes portent sur l’ajout d’utilisateurs sur les machines infectées de manière à ouvrir une porte dérobée pour le pirate. Symantec suppose que le cheval de Troie aurait pu être conçu à des fins d’espionnage, ce qui est effectivement possible.

 

Les chevaux de Troie utilisent depuis quelques temps des techniques particulièrement innovantes pour se coordonner. Si il y a 10 ans on voyait surtout des botnets coordonnés par IRC, depuis quelques années les structures C&C sont hébergées sur des serveurs web accessibles en HTTP(S). En 2006, le ver Storm Worm implémentait une structure de contrôle en pseudo-P2P, destinée à masquer l’existence d’un serveur C&C central. Début 2009, Conficker implémentait une véritable coordination P2P, en poussant le concept jusqu’au bout, mais en ne renonçant pas à un second mode de coordination alternatif via un serveur central (ce mode de coordination ayant d’ailleurs été contrecarré par le Conficker Working Group avec l’enregistrement préventif de plusieurs centaines de milliers de domaines avec lesquels Conficker prévoyait d'entrer en communication).

 

Depuis, d’autres expériences ont été tentées par les pirates : plusieurs chevaux de Troie sont désormais contrôlés à travers des structures C&C hébergées sur Twitter. Le but recherché est d’entraver au maximum l’action des forces de l’ordre : d’une part, en rendant plus difficile l’intrusion sur le serveur C&C – le pirate bénéficiant de la protection implicite des serveurs de Twitter ou de Google Groups, et n’a pas à se soucier lui-même de sécuriser sa machine ; et d’autre part, à minimiser les traces du pirate et les éléments à charge pouvant être retenus contre lui. En effet, à l’inverse des serveurs C&C dédiés qui sont utilisés comme de véritables outils de travail collaboratif, et où sont souvent stockées des informations particulièrement compromettantes pour les pirates (logs de connexion, fichiers, bases de données, etc. pouvant induire un profilage très précis des criminels), un C&C sur Twitter ou Google Groups n’est rien d’autre qu’un canal de communication unidirectionnel pour le botnet. Et enfin, cela complique la tâche des administrateurs réseaux qui chercheraient à détecter et interdire l'accès aux serveurs C&C depuis le réseau de l'organisation en se basant sur des listes noires de domaines ou d'adresses IP.

 

On peut aussi imaginer à l’avenir un malware tirant ses instructions de profils Facebook, MySpace ou Flickr, et téléchargeant ses mises à jour depuis des sites de partage de fichiers.

 

Cette démarche est toutefois peu adaptée aux botnets de grande taille, en raison du trafic important qu’ils génèrent, et induit un risque accru de décapitation du réseau, dans la mesure où Twitter et Google réagissent rapidement à de tels signalements.

Pierre Caron - Cert-Lexsi

 

ZDNET

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Announcements



  • Posts

    • Oui...ce qui me gène dans 99.99% des tv En algerie c'est qu'elle n'ont ni une dalle 100hz...non du hdmi 2.1...ni un bon processeur video
    • votre speed test vous remonte le morale 😊    
    • pour le prix je préfère largement une lg cx meme made in algerie vue que contrairement au tv led je pense que dans l'oled lg na pas trop de marge de manœuvre sur les matériaux et la technologie  , a par sa je pense que le vrai haut de gamme de iris c le Q20 vue que c'est presque tout ce qu'il ya au marché (avec les e20/21 et compagnie) sur leur site ya bien un F7 85" mais la aussi aucune trace sur le kniss et si tu tape skyworth f7 ta que des page en langue asiatique  personnellement je pense que la politique du pays fait tout pour nous maintenir dans la médiocrité ; bloqué les importation pour lancé du pseudo made in bladi qui est en faite rien de plus que du montage de composant bas de gamme eux même importer via un taux de change favorable, certes sa pourvoi des postes de travail mais économiquement parlent c'est un désastre sur le long terme sans parlé de la liberté de l'acheteur , si vous voulez promouvoir les article made in bladi a la limite augmenter la taxe sur les produit importé en laissons la liberté a l'acheteur de prendre ce qu'il veut  bref je suis ni économe ni expert en politique mais je veux juste avoir le choix entre un hisense h8g un tcl ,un visio et un iris . 
    • salut genio aucune idée pour leur haud de gamme  .il ont une oled 55p a 27m  au meme prix que la lg cx 😊    
    • @youcef17fr iris c'est quoi leur ecran le plus haut de gamme ?? et equivalent si tu connais...
×
×
  • Create New...