Les technologies et des process de fonctionnement évoluent de jour en jour.

Voici une technique qui, certes, est un peu compliquee à comprendre, mais qui

est cependant de plus en plus utilisée par les pirates cyberdélinquants

aujourd'hui.

Je vous renvoie sur ce post afin que vous puissiez mieux appréhender la

technologie Storm Worm et Storm Botnet.

Post Marc Blanchard : StormWorm et Storm Botnet

Comme je l'avais déjà expliqué dans ce post, les pirates vont utilisées des

méthodes de defacing de serveurs web afin de pousser leurs storm worms sur des

sites web commerciaux, informationnels, de paris en ligne, de casino, ou même de

jeux.

Afin de renforcer la longévité de leurs réseaux zombies, ils ont imaginé deux

techniques via des tentatives de pénétrations de serveurs web via du PHP

Injection ou du SQL Injection, attaques devenues aujourd'hui très courrantes.

Voici, après analyses de codes malicieux trouvés sur des serveurs Web, le

principe de fonctionnement.

Méthodologie 1 : Les serveurs WEB zombies autonomes

Le Principe est le suivant :

a. Le pirate exploite manuellement un certain nombre de serveurs internet

b. Sur ces serveurs, un botnet est installé par le délinquant.

c. Ce botnet a pour mission d'aller sur différents moteurs de recherches

(google, yahoo search, msn, altavista, etc) et font faire ressortir une liste de

serveurs web par thèmatique (sport, politique, jeux, etc)

d. les serveurs web contaminés vont alors tenter d'infecter ces nouveaux

serveurs trouvés par les moteurs de recherches. Les nouveaux serveurs web seront

alors exploités via des exploits PHP et/ou SQL afin de pouvoir pousser un botnet

sur ces serveurs

e. Une fois infecté, ces nouveaux serveurs web sont insérés dans une liste de

serveurs infectés et prêt alors d'utiliser, à leurs tours, les moteurs de

recherches..... La boucle est bouclée !

L'internaute, quand à lui, lorsqu'il arrivera sur ces serveurs web zombies,

verra son navigateur exploité par un storm worm hébergé par ces serveurs web

zombies afin que la machine victime fasse partie intégrante du réseau parallèle

zombies.

Méthodologie 2 : Les machines zombies des internautes qui enrichissent les serveurs WEB zombies

Le Principe est le suivant :

a. L'internaute infecté (utilisant sa machine zombiefiée ultérieurement) utilise

son navigateur pour aller sur un site.

b. Le storm worm présent sur la machine de l'internaute télécharge un à deux

exploits

c. Le site web que l'internaute demande se verra alors exploité par un des

serveurs web zombies par l'intermédiaire du navigateur de l'internaute.

d. Une fois ce nouveau serveur web défacé et infecté, un botnet a pour mission

d'aller sur différents moteurs de recherches (google, yahoo search, msn,

altavista, etc) et font faire ressortir une liste de serveurs web par thèmatique

(sport, politique, jeux, etc)

Les serveurs web contaminés vont alors tenter d'infecter ces nouveaux serveurs

trouvés par les moteurs de recherches. Les nouveaux serveurs web seront alors

exploités via des exploits PHP et/ou SQL afin de pouvoir pousser un botnet sur

ces serveurs

e. Une fois infecté, ces nouveaux serveurs web sont insérés dans une liste de

serveurs infectés et prêt alors d'utiliser, à leurs tours, les moteurs de

recherches..... La boucle est bouclée !

L'internaute, quand à lui, lorsqu'il arrivera sur ces serveurs web zombies,

verra son navigateur exploité par un storm worm hébergé par ces serveurs web

zombies afin que la machine victime fasse partie intégrante du réseau parallèle

zombies.

CONCLUSION

Il faut impérativement viellé à ce que l'antivirus soit bien à jour aux niveaux

des bases de signatures, et l'analyse heuristique doit être OBLIGATOIRE.