Marc Blanchard Virus Docteur

Etat des lieux :

Type de délinquances qu'un simple PC peut héberger :

Espionnage des particuliers:

Comptes mails (mots de passe, accès sites sécurisés, etc)
Comptes Web 2.0
Identités et comptes bancaires
Carte d'identité, passeport, impôts, cartes grises, permis de conduire (documents scannés) au vue de création de faux
Machine zombie pour propager du SPAM (Zeus)
Hébergeur de systèmes de billing pour les FakeAV (mules)

CyberGuerre à partir des machines des particuliers:
Soldat de botnet : essentiellement en IRC
Soldat de ghostnet : en HTTP2P
Hébergeur de codes d'attaques
Des séquences d'attaques
Des logs des états lorsque les attaques sont en cours
L'hôte est référencé sur les moteurs de recherches

Voici un phénotype de ma base encyclopédique malwares qui montre le peu de perception par l’utilisateur face à une infection de ce type. Ces perceptions ne sont que des comportements fréquent du système et donc fréquemment ignorées par les utilisateurs.

La réalité est tout autre !

Voici un phénotype de ma base encyclopédique malwares qui montre toutes les technologies invisibles et pouvant être installées sur la machine de l’internaute à son insu et pleinement fonctionnelles.

Les Ghostnet :

C'est une évolution de grande ampleur des techniques botnet vers un réseau de machines zombies utilisant les technologies suivantes :
CLOUDING via le protocole HTTP-P2P,
Référencements sur les moteurs de recherches
Notion des machines soldats
Bridge de répartition de machines soldats
Processus de calculs des machines dépendantes du bridge

Objectifs:

Les DOS,
DDOS de pays gênants
DDOS des sociétés commerciales gênantes,
Héberger des plans et documents d'états,
Héberger des plans et documents terroristes,
Envoyer des informations nécessaires aux actions terroristes du monde réel
Entretenir une puissance de calcul et de bandes passantes importantes
Création de faux serveurs pour les FakeAV,
Phishing, vols
Rester indétectable

Le clouding ou le cloud computing:

C'est une technologie qui permet d'offrir des services ou logiciels, qui sont déportés sur de grandes infrastructures professionnelles, aux usagés sans aucune (ou presque) installation locale. Cette extraordinaire invention marketing est essentiellement faite pour faire payer les utilisateurs davantage...on leur expliquera que les ordinateurs qu'ils possèdent ne sont plus assez puissants!!!

Le clouding s'est largement développé, et voici un petit résumé de quelques applications/services de cloud computing.

Avantages Pour les TPE/PME:
Bénéficier d'une infrastructure technologique très performante
Bénéficier d'aucun frais de maintenance ou presque
Payer des services logiciels au besoin et à la demande

Pour les grandes structures Bénéficier des dernières innovations logicielles Baisser les coûts administratifs et d'administrations informatiques Bénéficier d'intégrations sur mesure en fonction des standards logiciels/machines du moment Bénéficier d'aucune rotation de matériel serveurs et donc d'administrations réseaux

Désavantages :
La sécurité
La qualité des chiffrements des données
La disponibilité des connexions internet
Les rapidités des lignes internet
Les payements à la demande !

C'est BOINC, qui a été le précurseur dans le domaine du clouding avec les calculs scientifiques du SETI@Home nécessaire pour déporter les unités de calculs puis rapatriement des résultats par le net.

Le principe est simple, un screen saver spécifique se met en mode calcul pendant les inactivités du processeur.
Tout cela a été développé pour des raisons de manque de budgets pour des acquisitions de gros calculateurs.

Aujourd'hui, le Boinc héberge de plus en plus de projet du type SETI@HOME. Le seti, aujourd'hui, a 573.000 machines d'internautes pour une puissance moyenne par heure d'environ : 5,551.80 TeraFLOPS.

Le ghostnet est l'évolution OBLIGATOIRE des botnets de grandes envergures. J'avais traité du sujet botnet sur ce blog, je ne vais donc pas y revenir.

Nous allons étudier cette évolution dans ce post.

Historique : J'ai commencé des études épidémiologiques sur le ver Confiker mutant dès sa naissance.
Depuis février 2010, a évolué de façon émergente du mode technologique du botnet au monde ghostnet, actuellement utilisé.
Les études ont bien démontré que ce ver est en constante évolution.
Je me questionne sur le pourquoi des chercheurs en sécurité informatique délaissent les technologies utilisées par ce ver.

Aller, on va dire que c'est parce qu'ils le détectent : FAUX!

Où bien parce que les patchs Microsoft empêchent le ver de se propager : FAUX.

Je m'explique :

La principale différence entre le monde du botnet et celui des ghostnets est qu'un réseau botnet interface ses clients et ses serveurs de façons nominatives via les IRC ou même celui des référencements sur certains moteurs de recherche de machines d'internautes avec des noms de domaines aléatoires.

Ces machines intégrant un réseau botnet ont une mission de serveur hébergeur ou de client sur un seul niveau Ethernet (à ne pas confondre avec internet;-)
En d'autres termes, les machines d'un réseau de botnet utilisent la technique que l'on ne nomme plus du 'Client/Server'. Un ou plusieurs clients communiquent avec un serveur nominatif.

Le monde des réseaux ghostnet est différent.
On utilise le clouding pour multiplier les puissances de calculs, de stockages, de transmissions de données contenant les instructions des attaques (codes, durée, victimes, stratégies, etc) et contrôler les réplications et gestions des bridges.

Un bridge est un procédé utilisé dans le monde du clouding qui consiste à donner un nom de domaine pour le service offert, et le répartir sur de multiples serveurs qui héberge le service concerné.

Les ghostnet utilisent cette technique afin de renforcer le nombre de machines actives, et obtenir une infrastructure de très forte puissance.

Voici un résultat théorique s’appuyant sur les comportements des différentes mutations de codes et en fonction des puissances des machines, des capacités RAM et bandes passantes que mon campus antimalware a pu vérifier sur diverses plateformes présentes sur le campus antimalware (deux réseaux contaminés indépendants au niveau hardware, lan et connexions internet sur Paris, idem sur un seul réseau contaminé sur la Vendée) :

En fonction des puissances machines, RAM et bandes passantes, il s’est avéré avec les résultats d’études isomorphiques et le compte-rendu des recherches homorphiques, que les comportements d’une machine à l’autre, d’un réseau à l’autre et d’une connexion internet différente de l’autre, des comportements différents.

La copie écran si dessous, démontre bien que le même nom de domaine qu'une machine hôte infectée va rechercher, à quelques minutes d'intervalle, est dirigée sur des adresses IP différentes.

LES RAMIFICATIONS INFECTEES au jour J de l'expérience:

Voici les procédés effectués dans cette expérience.

On infecte une machine utilisateur saine avec le ver.
On y installe une sonde réseau.
On attend que les référencements de nom de domaine dynamique, qui est associé à cette machine utilisateur, soient effectués par le ver.

On attend que la machine soit référencée sur le net.

On commence l'expérience.

Le vers va commencer une activation de recherche de machines hôtes afin qu'il se géolocalise dans une infrastructure réseaux la plus réactive à ses requêtes réseaux. Dans l'exemple ci-dessous, il cherche sur fr.ask.com ses ramifications.

Une fois effectuée, le ver va s'implémenter dans une des ramifications réseaux que nous allons pister pour l'expérience.

Nous prenons un des noms de domaines que le ver contacte. Grâce à notre sonde, nous allons vérifier l'adresse IP qu'il appelle en fonction du nom de domaine.

Nous tentons de tracer cette adresse afin de vérifier si nous sommes en technologie hybride botnet/ghostnet ou bien en technologie pure ghostnet.

Dans le cas d'un botnet, nous n'aurions qu'une seule IP de visible par rapport au nom de domaine.

Nous sommes donc en présence d'une technologie ghostnet.

Cette adresse est donc un bridge, car elle référence une multitude de noms de domaines.

Nous prenons un des noms de domaines afin de continuer notre investigation.

On s'aperçoit sur l'image ci-dessus, qu'une autre ramification est présente.

Nous allons montrer deux cas de figure:

Une autre ramification à partir de cet étage de ramification, qui devra être suivie jusqu'à la terminaison pour finir l'étude de l'investigation de la branche.

Et voici une terminaison de la ramification à partir de ce niveau :

Tout cela pour quoi faire?

Les attaques préférées de ce ghostnet sont les DDOS.

De simples flood sont envoyés à un serveur victime, ou branche de serveurs victimes

Explications de l'attaque sur ce schéma:

Quelle est la puissance d'un tel ver comme Confiker ?

Un confrère chercheur/épidémiologiste a publié un compte-rendu graphique qui démontre bien la puissance d'un tel ghostnet:

Coté sécurité:

Il faut impérativement surveiller les pare-feux logiciels mais également des box ADSL.

Voici un exemple d'une LiveBox ayant conservée les authentifications d'usines : admin/admin

Les lignes surbrillées sont les lignes qui ont été ajoutées par le ver. Il est à noter qu'il ne s'est pas trompé, car la .15 est un linux tandis que les deux autres machines sont infectées.
Je travaille actuellement avec les gens de CISCO qui ont mettent à disposition un logiciel de traçage de botnets, qui devrait bloquer les émergences/attaques botnet mais également ghostnet ou réseaux invisibles.

A suivre dans cette section….

I remind some re-publishers that these researches are under copyright and you must contact me for more information’s.

Ghostnet networks : are you a soldier ?

First of all, what is the difference between botnet and ghostnet?

The term ghostnet was used for different attacks from china computers.

Techniques used were interesting to make researches, because, the attack flows were so intense that scientifically difficult to confirm there were botnet capabilities.

The main difference that botnet activities don’t use the multi-level ramification networks, and don’t use the cloud techniques.

We will see in this section the main difference between botnet and ghostnet.

What is the current situation?

Here are the different types of delinquencies that a simple user computer is able to have?

Type of home user spying:

To spy users:

Mails accounts (passwords, secure web site accesses, etc)

Web2.0 acounts

Credit cards, bank logins and bank accounts,

Evasion of identity cards, passports, driving licenses, social security cards & numbers

Internet providing to make the user computer as a SPAM servers or bot (Zeus)

Underground Billing system for Rogues & FakeAlert business

Underground botnet administration consoles or Databases of zombie computers

Internet providing to make the user computer as a SPAM servers or bot (Zeus)

Cyberwar soldier from the home computers users :

Botnet soldier : most of time IRC techniques are used

Ghostnet soldier : use the HTTP2P techniques

Internet providing to make the user computer as attacks codes and instructions repository (most of time encrypted on the hard disk and hidden on bad physical hard disk sectors)

The attack sequences and the logical steps that the soldier (the home computer) can do

Logs repository of the status and states of the current attack

This computer has its own fake domain attribution transparently.

Here is ghostnet malware encyclopedia phenotype that shows us the computer user perception face to such of malware. These perceptions are typically the behaviors that a computer and/or system can show on a normal uses. So these perceptions are often ignored by users.

The reality is other!

Here is ghostnet malware encyclopedia phenotype that shows us all the potential ghostnet technologies that can be invisible and found randomly on computer users (depending the power of the ghostnet)

Ghostnet:

It is a world wide exponential capacity of botnet transformations.

Ghostnet techniques use the clouding on HTTP2P protocol.
They use internet dynamic DNS the most useable to make the user computer as a soldier
They do some bridge reference on search engines as google, yahoo search, ask, etc of home users or enterprise computers
They can have the control to make the computer as a bridge, a repository and/or an attacker

Objectives:
DOS,
DDOS of countries
DDOS important sales companies (VOD, streaming, corprates sales, etc),
To be repository of countries strategies, political, or other documents,
To be repository of terrorist schema and documents
To maintain a quality of service of the ghostnet on calculation and bandwidth capabilities
To be repository of FAKEAV and Rogues billing systems
To stay undetectable by AV and Firewalls including hardware firewalls.

The Clouding or Cloud Computing:

Is the technique that let to move all computer software’s, services, billing to a powerful and professional computers/servers infrastructures. In fact, it is a wonderful marketing invention to force customers and enterprise to pay more and more. Anyway, they will explain lot of advantages like your computers need more power, don’t buy, we will provide you the software on several big servers!!!! You see the message!

Anyway now all is on the cloud, have a look on the following pictures:

In fact, it is the BOINC that demonstrate that the cloud can work. The SETI@Home is a perfect example to cloud the results that screen savers calculations do on users computers during that they drink … coffee, of course !

Today, the SETI@HOME has PER HOUR 573.000 online computers for a POWER of 5,551.80 Teraflops.

The ghostnet is the MANDATORY evolution of botnet that need to be more and more big. I already publish some posts concerning my researches on botnet on this blog.

Historical steps :

Since the born of downadup (confiker) I start epidemiological researches. I put in place a controlled active contaminated architecture, and let the malware to live its life. Millions of logs had been collected to analyze its behaviors since the start period.

In end of august 2009, my probes sent me some information’s that some behaviors changed : some files were created, checksums changed regularly, but no other new processes were created.

I decided to reinforce the controlled contaminated infrastructure and decide to open not one network but three geographically and networks independent in my campus.

In February 2010, the network activities were different as usual, but the files continue to change as usual.

Here are the results of these latest months since Feb 2010.

The ghostnet uses clouding on several layers of computers. The botnet only one. Ghostnet uses the network, CPU, RAM capabilities of infected users computers.

Malware clouding that use networks multi-layers, let the ghostnet to reinforce the number of active computers, but also to have an enormous bandwidth and power of CPUs calculations.

Here are the theorical predictions of capabilities shown on the 3 different infrastructures of the contaminated controlled networks on the campus:

As we can see on this picture, that after isomorphic researches and the homomorphic report, the behavior changes depending the bandwidth network, cpu and ramp capabilities. It is interesting that with the same malware codes executed on the same time, on several differents networks, computers and architectures, that the behaviors are different.

The following screen shot show the bridge techniques used now but this malware. In fact, at its borning, the reseaches were based on more than 500 domains names each two hours. Today the malware search 5 domains names, because they use only ONE same domain name, but the IP change as shown the following shot. It is the same domain name, but have a look on the IPs. The 2 shots were taken at 3 minutes intervals.

Here is the experimentation that was done the D day to analyze the ramifications.

I describe you the processes done on this experimentation:
I installed before infection a network probe
I infect a controlled home user computer
I wait that the fake domain name was created for this computer

I wait that this computer is referenced on the search engine

We can start the experimentation.

The worm will start the research activation of other hosts computers the most near of our infected computer geographically. In the following picture, the worm goes to fr.ask.com because the IP of our infected computer is located in France. By this search engine, the worm will find some hosts to be include on ramifications the most closed geographically OR and this is important to know, will join the ramification that is needed. In other words, if one of ramifications needs some specific capacities to survive, our infected computer will join this particular ramification!

Once done, we are ready to start the ramification profiling.

We take the fake domain name that the worm tries to reach. Our probe will give the IP corresponding of the fake domain name.

So we profile the fake domain name by its IP in the first step.

We will see if the IP is a standalone computer, in this case we are in front of botnet techniques, if it is more than one IP, that’s mean ramification.

In this case, we are face of a ghostnet. You can see multiple fake domains names referenced at this step.

That’s mean that the IP address that our infected computer tries to reach is a ‘Bridge’

What we can conclude at this step:
A. we are face to a clouding network B. it demonstrates that the evolution of this worm was done, and that now, no need to try to reach 500 fake domains to check if attack codes or instructions are available, only one or two are enough.

Let continue our investigation. I will choose one of these domains to follow to check if the stair of ramification is stop after this first stair or not.

We can see that a ramification is there

Now, I will show you two cases:

An other ramification that will drive us to another one.....

And in the following picture, we can see the ended point. This end point is a simple computer user.

All of this, what for?

They have power with the infrastructure that we know now. The every day is to get some new computers to increase more and more the power of such of invisible network.

The preferred ghostnet attacks are the DDOS.

In fact, simple floods are sended to the victims or branch of victims.

The following picture will show an example (in french but easily translated by the concept) :

What is the real power of such of malwares network?

A scientist published a graphical of his researches concerning this kind of network. That is demonstrating the power of such of network.

Security point:

Users must understand that new generations of worms knows how to modify the software firewall, but also the xDSL boxes (the worm tries to connect itself on SSH or http with brute force techniques.

Here is an example of a Orange LiveBox that keeps the factory user/password authentification, I mean : admin/admin

The blue lines are the lines that be added by the worm. We must note, that the worm didn’t open any port on the .15, because it is a linux computer. But the 2 others IP are infected by the ghost. We also can note, that only 1 IP has the 80 port opened not both.

I currently in contact with CISCO R&D, and thy will give me a security software that is able to give me more reports.

To be continued on this section….

Voici un plan de cablage du contient africain qui devrait voir le jour début 2011.

100 millions d'internautes sont attendus avec une interconnexion océanique à 1300 gigabits directe avec les backbones francais.

... portes ouvertes aux développements encore plus denses des botnets et ghostnet.

..à suivre...

Samedi 8 mai 2010 – dans la soirée

Pour sa deuxième édition, l’iAWACS (International Alternative Workshop on Aggressive Computing and Security) organisé par ESIEA (Ecole Supérieure d’informatique, électronique et Automatisme) a démontré qu’aucun antivirus du marché n’empêche l’exécution de programmes malveillants. Les défenses basées sur les listes noires de programmes d’attaques des antivirus laissent passer des attaques, dont certaines sont assez simples ou assez anciennes.

Suivez le lien sur MagSecurs.com

Même si je suis anti-contest de ce type, j'aimerai apporter un commentaire aujourd'hui, car vous êtes nombreux à me solliciter pour connaître mon point de vue :

Le challenge de l'IAWACS permet comme dans tout contest (les sécurités linux, réseaux, applicatifs, etc) de démontrer que tout ce qui est créé par l'homme peut être détruit par l'homme.

Dans un premier point, ce contest est intéressant, et montre bien, que les analyses actuelles ont leurs limites, mêmes celles qui utilisent des technologies de proactivités.

Le second point démontre également, que des attaques non référencées développées dans le but de nuire à une entreprise ou à un individu sont tout à fait possible sans aucune détection.

Mais il ne faut pas que le lecteur, au vu de ces résultats qui sont des résultats logiques de part les développements de malwares spécifiques, s'imagine que les antivirus et autres suites de sécurité n'ont aucune utilité.

Une suite antivirus est la ceinture de sécurité de l'ordinateur de l'utilisateur. Cela n'empêchera pas d'avoir un accident, mais les risques seront minimes et le protègera au maximum.

Le SANS Internet Storm Center nous indique que sans protection, une machine connectée au net a un temps de survie de moins de 3 minutes, ensuite les attaques réseau ou de malwares sont tellement nombreuses que la machine finie par deny of service de sa couche réseau voire du système.

Par conséquent, un antivirus arrête 99% des attaques et codes malveillants dits In The Wild, c'est à dire les codes malveillants transitant de façon autonome, transparente sur le réseau et USB, seront arrêtés et nettoyés...l'utilisateur pourra continuer d'utiliser sans problème son ordinateur.

Sans antivirus, l'ordinateur serait un véritable vivier de codes malveillants et un soldat de botnet et ghostnet de deny of services pour contribuer à des attaques d'institutions ou de pays, voire même participant actif de groupes d'hacktistes notoires.

Ca laisse à réfléchir!!!