Marc Blanchard Virus Docteur

Marc's Personal VirusLab

Marc Blanchard

Epidémiologiste, Virus Docteur

Directeur des Laboratoires de Recherches Technologiques & Scientifiques, Editions Profil / BitDefender

Ancien Directeur des TechLabs Doctor Web France

Ancien Directeur de L'ESAC European Scientific Antivirus Centre Kaspersky

Membre actif du RECIF Recherches en Criminalite Informatiques

Ancien Directeur du Centre de Recherches Trend Micro

Ancien Virus Docteur Central Point Software

---

MARC BLANCHARD :

La France compte parmi les meilleurs spécialistes mondiaux en matière de recherche épidémiologique et de lutte antivirale en environnement informatique. Parmi eux, il en est un qui fait figure de pionnier.

Après un cursus en électronique et en informatique, Marc Blanchard entre en tant qu’ingénieur système chez le constructeur d’ordinateurs Goupil. C’est lors d’une intervention auprès d’un client qu’il découvre la présence d’un code suspect pour lequel il va développer un outil de désinfection qui s’avèrera être l’antidote permettant de contrer le virus TELECOM.A.

Cette première approche de l’univers des virus et de la sécurité informatique l’amène dès 1986 à démarrer un programme de recherche extensive sur les méthodes et techniques d’additions de codes étrangers à un ou plusieurs codes natifs.

En 1991, alors qu’il se consacre entièrement à l'étude des codes malveillants informatiques, Marc Blanchard rejoint la société Central Point Software en qualité de responsable des études antivirales. Rapidement, son activité l’amène à présider tous les centres scientifiques Européens de la société.

En 1996, il prend la direction du centre scientifique de la filiale française du concepteur d’antivirus Trend Micro. Les résultats obtenus par ses travaux scientifiques prédictifs et ses développements d’antidotes pour un nombre important de technologies complexes lui permettent de devenir directeur des laboratoires scientifiques de la société, en Europe.

Marc Blanchard est ainsi à l’origine des développements d’antidotes pour les premiers virus ACCESS, kakworm et loveletter, Nimda, SQL_Slammer, virus se répandant de façon extrêmement rapide dès leur émergence.

Disposant d’un vrai sens de la perspective et de l’anticipation, il est l’un des premiers spécialistes de la sécurité informatique à préconiser, en 1997, la mise en place de pares feux en entreprise. A cette même période, il poursuit une carrière scientifique et professorale qui l'amènera à former de nombreux experts antiviraux de haut niveau. Auteur d’un grand nombre de travaux qui ont, pour la plupart, été réédités et sont, aujourd’hui encore, utilisés à des fins pédagogiques, Marc Blanchard apporte à son expertise théorique un véritable savoir faire pratique.

Marc Blanchard, à cette période, commence à concentrer ses recherches autour de la loi de MetCalfe, qui consiste à montrer ou démontrer que "L’utilité d’un réseau est proportionnelle au carré du nombre de ses utilisateurs (N²)". C'est à partir de cette loi que Marc Blanchard imagine diverses théories sur les éventuelles ellaborations de réseaux paralleles, qui pourraient servir à des actes de malveillances. C'est ainsi, qu'à partir de 1997, que Marc Blanchard dédie toutes ses recherches sur les techniques des réseaux Botnet. Aujourd'hui encore, ses recherches sont dédiées à toutes technologies pouvant être utilisées à ces réseaux parallèles.

Il élabore ainsi en 1998 la solution boitier Gatelock pour le compte de l’éditeur Trend Micro. Celle-ci est l’une des première du genre à contenir un pare feu, une protection de mail et une protection web (http ; ftp) au sein d’un boitier sans disque dur et ne contenant qu’une ram de 64MB.

En 1999 ses recherches sur le comportement du cerveau humain face au spam l’amène à publier en collège scientifique public des résultats éloquents faisant encore aujourd’hui autorité.

Fin 2003, Il est nommé Directeur du Centre de Recherches Européen chez Kaspersky Labs, éditeur à qui il propose un grand projet de protection de défense proactive sous le nom de code MAP (Malicious Application Probe) ainsi que des résultats de recherches en matière de spam pouvant survenir dans un futur proche sur les téléphones portables.

Les recherches de Marc Blanchard ont une particularité originale : elles sont orientées sur l’épidémiologie et prédictions futures. Il a ainsi développé et mis au point un système taxinomique, permettant un rapprochement des techniques et technologies utilisées par les codes malicieux. En fonction des technologies, le système permet d’établir des calques permettant de définir des probabilités de propagations sur des futurs proches, non encore existantes. C’est la raison pour laquelle, de nombreuses prédictions telles que l’arrivée des codes malveillants comme loveletter, l’utilisation des ports TCPIP, des infections actives, des codes modulaires, etc., avaient été prédites en collèges scientifiques entre experts avant même leurs apparitions.

En 2008, Marc Blanchard rejoint les équipes de Doctor Web pour mettre en place les structures techniques de l'éditeur.

En 2009, Marc Blanchard vient renforcer les équipes techniques de Editions Profil / BitDefender en qualité de Directeur Technique / Epidémiologiste. Il assurera à ce titre les principales fonctions suivantes :

-Evangélisation sur les problèmes de sécurité actuels et futurs et sur les technologies permettant d’y faire face

- Organisation, optimisation et développement des services aux utilisateurs

- Recherche et prédiction sur les malwares

Les recherches de Marc Blanchard ont une particularité originale : elles sont orientées sur l’épidémiologie et les prédictions futures. Il a ainsi développé et mis au point un système taxinomique, permettant un rapprochement des techniques et technologies utilisées par les codes malicieux. En fonction des technologies, le système permet d’établir des calques permettant de définir des probabilités de propagations sur des futurs proches, non encore existantes. C’est la raison pour laquelle de nombreuses prédictions telles que l’arrivée des codes malveillants comme loveletter, l’utilisation des ports TCP/IP, des infections actives, des codes modulaires, etc., avaient été prédites en collèges scientifiques entre experts ces dernières années avant même leurs apparitions.

Marc Blanchard déclare au sujet de sa décision de rejoindre Editions Profil / BitDefender : « J’ai pu constater que les innovations technologiques de BitDefender répondent aux mieux aux problématiques des infections actives génératrices de réseaux zombies. En relation directe avec les équipes du Viruslab et du département innovation, mes recherches épidémiologiques ont une réponse technologique pour appréhender au mieux les problématiques actuelles et futures que sont les infections actives, et notamment avec la nouvelle technologie Active Virus Control de BitDefender. Par ailleurs, la vision d’Editions Profil qu’une solution de protection est indissociable de services de qualité correspond à mon approche personnelle et nous permettra de lancer dans le futur de nouveaux services innovants répondant aux besoins des utilisateurs. »

---

NOTE IMPORTANTE CONCERNANT LES POSTS DE CE BLOG:

Copyright : Blanchard Marc

Paternité Pas d'Utilisation Commerciale Pas de Modification

Vous êtes libre :

• de reproduire, distribuer et communiquer cette création au public

Selon les conditions suivantes :

Paternité. Vous devez citer le nom de l'auteur original.

Pas d'Utilisation Commerciale. Vous n'avez pas le droit d'utiliser cette création à des fins commerciales.

Pas de Modification. Vous n'avez pas le droit de modifier, de transformer ou d'adapter cette création.

- A chaque réutilisation ou distribution, vous devez faire apparaître clairement aux autres les conditions contractuelles de mise à disposition de cette création.

- Chacune de ces conditions peut être levée si vous obtenez l'autorisation du titulaire des droits.

Ce qui précède n'affecte en rien vos droits en tant qu'utilisateur (exceptions au droit d'auteur : copies réservées à l'usage privé du copiste, courtes citations, parodie...)

Ceci est le Résumé Explicatif du Code Juridique (me contacter)

---

Contact :

mail : marc /dot/ blanchard /at/ viruslab/dot/ath/dot/cx

GSM : +33 (0)6 63 58 10 97

Un egène est un code malicieux mobile, mais mobile sous plusieurs formes aussi bien au niveau de leurs mobilités dans un réseau qu’au niveau de son propre code.

Nous parlons des réseaux Zombies.

Mais que savons nous de leurs:

- Activités ou de leurs objectifs

- Méthodes de fonctionnement

- Géolocalisations

- Durées de vie

- Modélisations

- Interactions sur internet

- Stabilités

En 2002, sur les undergrounds, une idée avait pris forme quant aux nouvelles dispositions sur les propagations de façons la plus transparente possible des egènes malicieux.

Rappel sur la VCI : Virus Communication Interface

Les Infections InterProcess :

Les egènes sont chargés en RAM et peuvent communiquer avec la VCI elle-même logée dans sa propre adresse virtuelle.

Les egènes envoient les informations du type comportement, ce qui a été contaminé, comment, pourquoi l’infection ne s’est-elle pas effectuée, etc… à la VCI en utilisant des protocoles basés TCPIP.

La Stratégie de la VCI :

La « Virus Communication Interface » est capable :

- d’envoyer et de recevoir les informations à une catégorie de egènes appelés Codes Modulaires

- La VCI est capable de se connecter au net pour télécharger des nouveaux exploits et de nouvelles formes de métamorphismes et les envoyer nominativement aux virus modulaires afin que leurs actions soient modifiées

Les 7 étapes que les codes malicieux doivent suivre :

- Portable : Le egène doit être développé pour être indépendant de la plateforme – pas seulement sous Windows

- Invisible : Le egène doit être implémenté pour utiliser des technologies métamorphiques utilisant les APIs systèmes pour rester indétectable le plus longtemps possible

- Indépendant : Auto-réplication Auto-execution sans interaction utilisateur, Embarquement de bases d’exploits

- Intelligent (auto-apprentissage): Le Worm doit être capable d’appliquer lui-même un nouvel exploit « en ligne » avec l’utilisation du protocole WormNet

- Integrité : Egene Modulaire (utilisant la V.C.I.) sont capables d’appliquer des changements substentiels de façon autonome afin d’être le plus caché possible

- Transparence : Pas de code constant (le code est toujours différent) et crypté Les cryptages pourront être différents à chaque contamination de fichiers ou d’ordinateurs cibles en utilisant ou pas la VCI ou via les Inter-Process Communication

- Courte durée de vie : Le egène est de travailler seul, de downloader / Uploader des nouvelles sources d’attaques ou d’exploit

Une fois la mission effectuée, il sera prévu une autodestruction après s’être installé sur une autre machine du subnet via un scanner réseau, un botnet et un rootkit

Durée moyenne d’installation sur la machine victime est estimée entre 2heures et 4 jours

.... A suivre ... Que s’est-il passé depuis ?

Que s’est-il passé depuis ?

Sont apparus de façon significative :

- Les backdoors

- Les codes modulaires

- Les botnets

- Les rootkits

- Les exploitations des failles de sécurité OS et Applis

- Les différentes méthodes de chantages

- Spam

- Phishing

- Pharming

- Keyloggers, etc

Les conséquences :

De nouveaux protocoles sont arrivés exploitant :

- Les applications vulnérables

- Les ports IP standardisés,

- De nouvelles utilisations de ports transparentes pour les firewalls

- Du social engineering

- De la fraude bancaire

- De la fraude de DNS et de noms de domaines

Les recherches :

Les recherches épidémiologiques changent car nous sommes confrontés à plusieurs types de techniques comme :

- La publication de egènes malicieux sur une période courte, afin de ne pas être détectés par les antivirus

- Le Pharming et le DNS poisonning deviennent à la mode

- L’exploitation des réseaux Zombies qui sont maintenant très nombreux

- Les ‘advanced’ worms réplications très émergente utilisant des techniques de multi-threading

''Explications :

- Les Worms à technologie séquentielle infectent un parc de 180000 machines en moins de 500 minutes

- Les Worms à technologie multi-threading utilisant ainsi le parallélisme infectent 180000 machines en moins de 35 sec''

Etude sur les réseaux de E-genes Zombies :

C’est un environnement flou d’un egène et sa capacité d’interagir à travers divers composants.

C’est pourquoi nous sommes obligés d’appréhender le problème différemment avec les egènes qui utilisent les méthodologies du WormNet.

On établit une Carte d’interaction comprenant :

- La Géolocalisation des egènes dans le monde

- Des prédictions de briques élémentaires pour déterminer la dynamique de cet egene

Nous travaillons également sur la composante Temps

- Satellisation de son action sur un temps court

Nous essayons alors de déterminer son évolution :

- Si elle est cyclique - ou si elle est proportionnelle

En ce qui concerne les briques élémentaires, on essaie d'etablir :

- La Définition du réseau zombie

- Si il est Stable ou Instable

- Si sa Qualité est bonne

- Egalement les Process de routage

- Comment les Filtrages peuvent etre effectues par les FW

- Enfin des prédiction sur une Implémentation probable via une modularité de code

On finira notre recherches par des Etudes de Comportements :

- Taux de redépart de l'attaque

- Taux de dégradation (détection AV, blocage FW, etc)

- Stabilité du réseau

Les attaques evoluant chaque jour, nous adaptons ces nouvelles recherches épidémiologiques en fonction des nouvelles technologies des codes malicieux.

Un webmaster m'a fait part d'une attaque d'un réseau zombie qu'il a subi dernièrement sur ses serveurs web. Je vais essayé de vous l'expliquer le plus simplement possible.

Perception de l'attaque :

a. Coté utilisateur : Trés grosses lenteurs d'accès aux pages web du site, voire impossibilité d'affichage de la page d'index (la page de bienvenue du site)

b. Coté serveur internet : Le microprocesseur est à 100% d'utilisation, des milliers de processus du serveur web/http surchargent la mémoire

c. Coté administrateur / webmaster : Vérification des régles de parefeux : Rien d'anormal, vérifications auprès du provider internet : rien d'anormal...

Que se passe-t-il ?

1. Après investigation du webmaster et de l'administrateur, des milliers d'ordinateurs sont en train de télécharger un fichier présent au téléchargement sur le site web attaqué.

2. Ces milliers d'ordinateurs téléchargent le fichier du site web attaqué avec une toute petite bande passante.

Que peut-on constater dans ce cas :

1. On s'appercoit, sur le serveur web attaqué, qu'une multitude de processus de serveur http sont chargés en mémoire, visant à faire tomber la machine via un 100% CPU (micro-processeur) et qu'une saturation mémoire et swap sont proches

2. Que ces processus de serveur http ne s'arreteront pas tant que le fichier n'est pas totalement téléchargé, ne liberant ainsi le serveur que dans quelques heures.

Différentes théories de paliatifs contre cette attaque de denis de service (appelé D.O.S) :

1. Imposer des limites de processus au système, mais elles peuvent nuire à la production habituelle du nombre de pages web visitées au quotidien

2. Filtrer les adresses IP : Mais certaines IP peuvent avoir un incident de blocage de connexion pour l'utilisateur non perturbateur, car son adresse IP peut être filtrée

Solution :

Partant de ce constat, il s'est avéré que la seule méthode, la plus efficace, était de capturer (blacklister) ces IP perturbatrices, non pas en les annulant, car l'attaquant pourrait attendre que toutes les adresses IP de son réseau zombie changent, mais de lui faire croire que son attaque fonctionne sans pour autant perturber le système.

Pour ce faire, une solution de 'pot noir' en linux existe qui consiste à répondre à la requête d'une adresse IP mais la diriger vers 'rien'

Aprés une fantastique saisie des adresses IP, et une recherche de géolocalisation des adresses IP, il s'est avéré que l'attaque venait d'Asie. Par conséquent, un 'pot noir' temporaire des adresses IP venant de ce pays s'est avéré la solution la plus efficace, sans trop de perte de productivité commerciale pour l'entreprise.

Conclusion :

Les hackers qui contrôlent les réseaux zombies peuvent provoquer un cyber-désordre d'une entreprise, d'un grand groupe international, juste en télécommandant des attaques programmées, par pays, par région sous forme de denis de services (D.O.S.), pour ensuite effectuer des chantages financiers ....un arret de l'attaque contre une somme d'argent...

Les machines zombies ne sont, en fait, que des ordinateurs que nous utilisons au quotidien, mais qui ont été infectés par une backdoor (porte dérobée) et d'un BOTNET (qui envoie régulièrement l'adresse IP de la machine au hacker). Le hacker peut ainsi prendre le contrôle du poste en entrant dans le système via la porte dérobée.

La seule solution aujourd'hui, pour éviter que notre ordinateur n'entre dans un réseau zombie, est une protection antivirale équipée d'un module proactif de défense, une analyse heuristique qui complète une mise à jour des bases antivirale (la plus fréquente possible), et une analyse en temps réel qui analyse TOUT TYPE de fichiers.

Les hackers d'aujourd'hui ne sont plus les hackers que nous avions, il y a 10 ans encore (qui ne montraient que des preuves comme quoi les systèmes pouvaient être vulnérables)... Non! les hackers d'aujourd'hui sont bel et bien de réels businessmen, et là ......

Où s'arrêteront leurs limites? Dans ce cas, est-ce que la limite est celle qu'un homme peut attendre dans sa quête de richesse ou de pouvoir ?

Dans cette section pour tout public, je vais essayer d'aborder de manière la plus compréhensible un certain nombre de termes que nous utilisons dans notre métier, nos laboratoires et que, peut-être, vous rencontrerez dans les différents compte-rendus scientifiques sur ce site.

Dans ce post, voici une petite explication sur le mot WORM (vers).

La nomination du mot WORM est utilisé pour tout ce qui a une relation avec une attaque d'un groupe d'ordinateurs, serveur, connectés en réseaux.

Je qualifie cette attaque comme un code malicieux transitant sur le câble...et y restant.

Définition d'un vers

Un vers est :

- Autonome

- Sournois

- Transparent

Il se fixe sur les autostarts (les clefs de registres qui permettent de lancer automatiquement des programmes au démarrage de l'ordinateur)

Le vers effectue des rebonds sur les cartes réseaux pour affecter d’autres ordinateurs

Il ne représente pas un fléau en nombre d’infections, mais représente un nombre très important de propagations et de rebonds, appelé machines affectées.

Sa durée de vie est très longue (plusieurs mois)

Il fait réagir les Antivirus, sans pour autant qu’une action de nettoyage puisse être entreprise due aux rebonds réseaux. En d'autres termes, le worm essaye de pénétrer la machine, mais est stoppé par l'antivirus de cette machine. On parle alors que cette machine utilisateur est affectée.

Si le vers arrive à pénétrer la machine utilisateur sans qu'il soit arrêté, alors cette machine sera infecté, puisque le worm s'y sera installé !

Méthodologie d'un vers

Une machine infectée suffit pour affecter les autres machines du réseau, voire même des réseaux extérieurs car le vers contient généralement un scanner réseau.

De nombreux vers contiennent des backdoors ouvrant des portes extérieures et interagissent avec une technique BotNet pour envoyer les informations de connectivité (adresse IP) de la victime à son créateur, en vue de créer ou de renforcer le réseau des machines des utilisateurs qui ont été ou seront zombifiées.

Fonctionnement d'un worm

Il faut faire la différence en une machine infectée et affectée.

Partant sur le principe qu’un ver fonctionne si et seulement si il est lancé d’une machine infectée, il fera, via son scan réseau, une tentative d’infection puis un rebond IP pour saturer sa victime qui n’est pas forcément celle ou le rebond est effectué. Par conséquent, on appelera une machine qui reçoit le vers comme machine affectée.

Concept de fonctionnement concernant la propagation d'un vers

Le ver possède une notion de parallélisme des attaques ou des rebonds donnant ainsi naissance à du multi-threading réduisant ainsi les timeout pour une affectation et saturation importantes de sa ou ses victimes.

Le concept se porte sur les faits :

- d’infecter un nombre limité de machines afin de mieux les contrôler et de lancer une attaque en quelques secondes

OU

- de déployer en masse une affectation de rebonds en masse pour déstabiliser les accès TCP des machines vulnérables via un scan réseau, ou bien encore un déni de service contre un serveur d'une entreprise, ou bien même d'entretenir un ensemble de machines victimes pour un réseau zombie.

Simulations de Laboratoire :

On estime que 34000 machines d'utilisateurs affectés toutes les 5 secondes à partir de 17000 machines infectées résulte qu’en 36,506 secondes permettent une affectation en masse avec des Advanced worms utilisant la technique du parallélisme.

Voici une simulation effectuée sur la propagation d'un vers utilisant la technologie séquentielle de propagation. L'affectation pour 170 000 machine s'effectue en 500 minutes.

Voici une simulation effectuée sur la propagation d'un vers utilisant la technologie parallele multithreading de propagation. L'affectation pour 170 000 machine s'effectue en 70 SECONDES.

Comme on peut le constater on ne parle plus en minutes mais en seconde !!!

Voici une simulation à partir de diverses simulations de laboratoire que j'ai pu effectuées

On peut constater les temps de propagations des vers dits WORM.

Conclusion

Attention avec les détections des antivirus !

Ce n'est pas parce que l'antivirus envoie une alerte sur un worm que le poste est infecté!!!

Il faut bien lire les rapports de l'antivirus APRES un scan complet de la machine.

En effet, la machine en question peut être une machine AFFECTEE, qui recoit le vers, sans pour autant être INFECTEE.

Il vous faut impérativement trouver la source de la machine INFECTEE, car c'est elle qui fera réagir les antivirus des postes en cours d'affectation.

Dites vous, que, tant que vous n'avez pas trouver la machine infectée, l'utilisateur aura des réactions de la part des antivirus, sans pour autant être infecté !!!

Une technique des WORMs dérivée nous arrive depuis mars 2007 appelée STORM WORM et STORM BOTNET.

Nous traiterons dans cette section ces nouvelles catégories encore plus emergentes !

JDN Solutions - Interview

Marc Blanchard (Kaspersky) : "On peut décompter 20 à 30 millions de bots dans le monde" Le chercheur de Kaspersky revient sur l'évolution des modes de propagation multiplateforme des réseaux zombies. Technologie P2P et consoles d'administration complexifient la lutte antivirale.

JDN Solutions : Pourquoi cette enquête sur les réseaux de PC zombies ?

Ce qui m'y a poussé, c'est la déclaration du 13 juin dernier faite par le FBI et qui faisait état d'un million de victimes potentielles. De source non-officielle, je pense qu'en 2007, on peut en décompter entre 20 et 30 millions. Bien que ce désordre numérique ne soit pas une épidémie - cela fait désormais quelques temps que ce ne l'est plus -, il m'inquiète.

Le spam envoyé depuis des ordinateurs infectés existait déjà, mais en 2007 nous avons remarqué la multiplication des faux serveurs Web et des blogs fictifs, référencés dans les moteurs de recherche. Or, tous ces services sont hébergés sur des machines contrôlées par un bot, c'est-à-dire un robot.

En ce qui concerne le mode de fonctionnement, on reste sur des techniques connues, avec notamment des backdoors et des rootkits. Mais ce que les pirates recherchent, c'est uniquement la multiplication du nombre de machine zombies. En 2003, le temps moyen d'un développement suite à l'apparition un nouvel exploit était de 15 minutes avec propagation sur le net. En 2007, ce temps est seulement de 4 minutes.

JDN Solutions : Quelles évolutions avez-vous notées en ce qui concerne les bots ?

On s'aperçoit que le taux d'utilisation d'une machine contaminée par un bot ou un ver - non Storm - est de l'ordre de 100% du CPU. L'utilisateur va donc vraisemblablement s'apercevoir de la contamination, ne serait-ce que parce que son ordinateur souffre d'importants ralentissements.

J'ai ainsi remarqué que les pirates analysaient désormais le nombre de mégaflops de la machine et divisaient par 2 ou 3 le taux d'utilisation du CPU. Lors de mes tests, j'ai ainsi exécuté Storm Worm sur un ordinateur disposant de 337 mégaflops. Avec ce bot, c'était non plus 100% du CPU qui étaient exploités, mais 47%.

"Il suffit désormais de se rendre sur un site Web pour être contaminé"

Cette prise de contrôle d'ordinateurs vulnérables permet aux pirates de bénéficier d'une puissance de calcul extraordinaire. A titre de comparaison, le supercalculateur du centre de météorologie français, le Cray, dispose d'une puissance de 101 téraflops. Si on ne retient que la moitié du nombre de victimes comptabilisées par le FBI, soit 500 000, et que l'on attribue à chacun une puissance de 210 mégaflops, on peut se faire une idée de la puissance représentée par les botnets.

JDN Solutions : Quel est le mode de propagation des bots ?

Aujourd'hui, les méthodologies de propagation et de contrôle à distance des machines sont différentes. Dans un premier temps, on va essayer de vous pousser une enveloppe vide de toute attaque, en fait une backdoor. Cette porte dérobée va permettre d'accéder à un point d'entrée afin de propager une ou plusieurs attaques : serveur de mail, faux blog, faux DNS, etc. Le robot activé - le bot -, enverra de façon automatisée votre adresse IP au pirate à chacun de ses changements.

Les plates-formes de propagation ont elles aussi changé. Avant, le mode de contamination était essentiellement l'e-mail. Désormais, il suffit d'aller sur un site Web. Il faut savoir qu'un script inséré dans le code d'une page Web permet de modifier en temps réel une clef de registre.

Ainsi, les pirates viennent ajouter du code dans les pages d'origine des serveurs, soit un script ou un iframe, qui va pointer vers un autre serveur. Ainsi, un internaute visitant le site et n'ayant pas un système à jour, comme cela est fréquent, téléchargera le code du programme malveillant.

Les attaques de script - VBS, Javascript, PHP, iframe, etc. - vont de pair avec la montée en puissance de Storm Worm. Depuis août, la base de signature des scripts malveillants a ainsi progressé de 300%.

"Les consoles d'administration permettent de géolocaliser les victimes par pays"

JDN Solutions : Quelles sont les particularités de Storm Bot ?

En plus d'une grande force de calcul, il permet aux pirates de géolocaliser l'ensemble des zombies et repose sur une technologie de P2P. Storm Botnet se compose ainsi de machines hôtes mâles qui vont essayer de trouver 1.000 à 2.000 femelles prêtes à accéder au code géniteur du programme. En outre chaque femelle sera reliée à au minimum 3 machines hôtes. Le maillage est très rapide car les femelles vont essayer également de propager des enveloppes vides à 1.000 à 2.000 autres machines.

Les consoles d'administration permettent quant à elles désormais de géolocaliser les victimes par pays. Un pirate peut même établir des rapports statistiques par pays et télédistribuer une attaque à l'échelon national ou international. Ce mode opératoire permet d'ailleurs de remettre en cause l'implication des autorités chinoises dans les attaques contre la France. Les machines zombies peuvent en effet se trouver en Chine, mais le commanditaire, via ces consoles d'administration évoluées, peut être dans un autre pays.

Autrefois, un botnet était facilement géolocalisable car il reposait sur quelques machines poussant l'attaque. Il suffisait alors d'examiner les traces sur un ordinateur zombie pour retrouver l'identité de ces serveurs hôtes. Une fois ces derniers désactivés, le réseau zombie s'écroulait.

JDN Solutions : Un tel maillage signifie-t-il qu'il est désormais impossible de déconnecter un botnet ?

Ce serait comme essayer d'arrêter un réseau P2P type Kazaa. Trop de machines sont à la fois clientes et serveurs pour qu'il soit possible de faire s'écrouler le réseau de partage. Pour venir à bout de Storm Botnet, il faudrait parvenir à nettoyer l'ensemble des ordinateurs contaminés. Or, il y aura toujours des machines vulnérables.

De vieux programmes comme Blaster, Sasser, Mydoom continuent par exemple d'être au Top 5 des attaques sur le câble. Cela signifie qu'il y a toujours des postes vulnérables qui véhiculent le code sur les réseaux. Avec une propagation multiplate-forme, les pirates s'assurent de toujours disposer d'un nombre de bots suffisant. Et ils y ont tout intérêt puisque leurs profits en dépendent directement.

L'intégrale de l'interview sur le Journal du Net

Dans cette section pour tout public, je vais essayer d'aborder de manière la plus compréhensible un certain nombre de termes que nous utilisons dans notre métier, nos laboratoires et que, peut-être, vous rencontrerez dans les différents compte-rendus scientifiques sur ce site.

Dans ce post, voici une petite explication sur le mot TROJAN (Cheval de Troie).

La nomination du mot TROJAN est utilisée pour tout ce qui a une relation avec une attaque d'un ordinateur, serveur, perturbation informatique. Cette utilisation est incorrecte, mais elle est comprise par tous et toutes. C'est pourquoi, je vais vous expliquer le terme générique TROJAN qui est aujourd'hui utilisé dans notre métier.

Définition :

Les premiers trojans ont été developpés par le mathématicien Alan Turing en 1936, qui avait comme mission d'appliquer le même programme sur différents calculateurs.

Un Trojan est un code malicieux dont la totalité de son code programme EST le code malicieux.

Contrairement aux techniques utilisées par les virus (concaténation du code malicieux dans le code programme original d'un fichier existant (fichier hôte)), les trojans sont complétement indépendant au niveau de leurs codes.

Les trojans sont généralement des programmes en tant que tel, comme des outils freeware ou shareware, téléchargés par un utilisateur ou arrivant via une technologie de Worm ou StormWorm par le biais du mail, web, MSN, IRC, etc ou sous forme de lien HTML.

Technologies embarquées :

Les Trojans peuvent embarqués de nombreuses technologies pour effectuer leurs process malicieux :

- Technologies de rootkit

- Technologies de Backdoors (portes dérobées) : ouverture d'un port TCP permettant au pirate d'entrer sur la machine victime pour lui faire faire des actions malicieuses

- Technologies de BotNet (robot internet) : permet d'envoyer l'adresse IP en temps réel de la victime au pirate, lui permettant ainsi d'avoir les coordonnées de ses victimes pour entrer via la backdoor

- Technologies de programmations telles que MUTEX

- Technologies de Compétences transversales pour une attaque sans incident !

- Technologies d'hébergement de WORMS (vers) permettant ainsi une durée de vie de ce code malicieux la plus longue possible

Perception de la contamination

En général, l'utilisateur ne s'appercoit de rien, car un trojan est si petit, si furtif, qu'il travaille en arriere plan à l'insu de l'utilisateur.

Ensuite, la perception de la contamination dépendra des actions pré-programmées du trojan.

Méthodes de détection

Les trojans sont détectés et eradiqués par des logiciels antivirus.

Méthode d'erradication

Il est possible de rencontrer des problèmes d'erradication des Trojans, car ils utilisent très fréquemment la technique MUTEX.

On essaiera, dans ce cas, de rebooter en mode sans echec, et de scanner tous les fichiers de la machine avec un antivirus à jour.

Pour certains egenes trojans, il est parfois nécessaire de procèder à un nettoyage manuel ou par le biais d'un cleaner.

Dans cette section tout public, il m'a semblé interessant de faire un point sur les activites virales d'aujourd'hui et de demain.

En effet, nous nous appercevons qu'il n'y a plus de réelles communications en presse ou même chez les éditeurs d'antivirus concernant de grandes épidémies, telles que nous les avions eu avec les ILOVEYOU, Sasser, Blaster, NetSky/Baggle, etc...

Cela ne signifie pas que les codes malicieux de tout genre, virus, trojans, vers, etc tentent a disparaitre...

non, au contraire...

La différence est que leurs propagations sont complètement transparentes, furtives et nous, utilisateurs, sommes les acteurs d'une scène de constitutions de réseaux parallèles, dont on n'imagine pas même la puissance de calculs dont les pirates actuels disposent en exploitant nos machines, dites MACHINES ZOMBIES.

Rappel Général

Un virus est un programme qui, pour fonctionner, a besoin d'un fichier hôte pour fonctionner.

Un ver, ou worm, est un programme qui a besoin d'une machine hôte pour fonctionner.

La principale différence entre un vers et un virus, est que le virus peut être détruit facilement par un antivirus, car il est localisé sur une petite entité : les fichiers du PC.

Le ver, ou worm, quant à lui, existera tant qu'une machine sur internet le fait fonctionner. On appelle cette technique : une infection par le cable.

Voici une petite statistique qui vous permettra de comprendre la problématique du worm.

Dans l'image ci-dessous :

On constate bien que SLAMMER et MSBLASTER sont bels et bien encore actifs sur une machine connectée sur le net, sur laquelle on analyse les tentatives de pénétrations (appelé VirusPot).

Ces deux vers ont été lancés sur le net aux environs des années 2002 et 2003...wow ! elles représentent encore un taux élevé de tentives d'infections alors que TOUS les antivirus...même les gratuits les détectent!

Etrange, vous ne trouvez pas...

L'explication est très simple, ces codes sont des vers ou worms. Alors qu'un virus est présent à part entière sur la machine de l'utilisateur, l'antivirus, lui, fait son travail de détection et d'eradication localement.

Alors que le ver ou worm, lui, tant qu'une machine sur internet est vulnérable, le ver existera et se propagera sur la toile... d'ou la constitution et les convergences de développement très fortes de la part des pirates vers les technologies des vers ou worms.

Qu'est-ce qu'une machine zombie (rappel)

Une machine utilisateur devient zombie en subissant des techniques de pénétration dites 'différées'.

Le principe est le suivant :

1. La machine est sur le net, et subit, de la part des worms, des tentives de pénétration par exploits de vulnérabilités que ce soit sur l'operating system, ou bien applicatifs comme des clients de messageries courrier ou instantannés, navigateurs, visualisateurs de films ou de mp3, de logiciels peer to peer, etc...

2. Un processus va alors s'installer sur la machine, et va ouvrir une porte dérobée (appelé backdoor) en modifiant les règles des parefeux logiciels.

3. Une fois la backdoor établie, un BOTNET (robot internet) va être lancé sur la machine permettant ainsi d'envoyer l'adresse IP et le numéro de la porte dérobée de la machine victime au pirate.

4. Le pirate recevant cette information, pourra référencé la machine victime dans une console d'administration, et ... plus tard, prendre la main à distance pour téléguider cette machine pour effectuer une ou plusieurs attaques, ou permettre à cette machine de devenir un serveur web pédophile, d'achat en ligne, de promouvoir des attaques de phishing, ou même d'être un faux serveur de blog.... bref tout peut être imaginé!

5. Pour ce faire, de nouveaux procédés sont mis en place sur les machines victimes en installant un DNS Dynamique....

Cette technique devient de plus en plus fréquente pour le phishing (faux serveur de logging bancaire) ou pour des faux serveurs de casinos.... oui, les machines des utilisateurs zombies sont de plus en plus référencées dans les moteurs de recherches type google et yahoo search.

En faisant des recherches en fonction de l'actualité, qui peut être sportive, politique ou ... autre... l'internaute se retrouve très facilement sur un faux serveur de blog ou faux serveur web comme le montre la photo ci-dessous :

Ce Faux blogs avec le téléchargement sur youtube d’une vidéo n’est qu'en fait qu’un fichier exécutable qui contient le storm worm...

En juin 2007, le FBI lancait une annonce presse indiquant 1 million de machines zombie.

Après de nombreux calculs mathématiques au centre de recherche scientifique, on estime que le nombre de machine zombie n'est pas de 1 million comme l'indique le FBI, mais plutot estimé entre 30 et 50 millions.

Nous allons voir ensemble pourquoi.

Que se passe-t-il aujourd'hui ?

L’utilisation à distance d’une machine zombie est très pratique, certes, mais les ressources CPU doivent répondre au lancement de l’attaque ou au téléchargement du nouveau code.

Cette sur-activité CPU est normale, car des opérations mathématiques particulières doivent être lancées. Ces opérations font appels aux FLOPs (opérations à virgules flottantes).

Mais la perception au niveau de l'utilisateur est importante. En effet, avec une utilisation du processeur de 100%, l'utilisateur peut tout juste faire bouger sa souris. C'est la raison pour laquelle, de nombreux pirates voient leurs codes rapidement détectés par les Antivirus, car les utilisateurs suspectent fortement leur machine.

Si leur code est détecté, pour le pirate essayant de mettre en place un réseau parallele de machines zombies, il y a de fortes chances que l'existance et la persistance de ce réseau soit très fortement fragiligisé, et surtout que ce réseaux ait une faible durée de vie.

C'est pourquoi, depuis quelques semaines, nous assistons à une emergence de nouvelle génération de vers appelés STROM WORM.

Voici le principe :

Les délinquants ont décider de prendre des mesures technologiques afin d’éviter que les machines zombies soient affaiblies par l’activité.

Ils utilisent la techniques des ressources CPU partagées.

Lorsque le stormworm arrive sur la machine, il va faire une analyse du CPU afin de déterminer le nombre de MEGA FLOP maximum pouvant supporter le CPU, le storm worm va ainsi n'utiliser que 2/3 de la puissance de la machine victime.

La résultante est efficace :

En effet, à 47% d'utilisation du CPU, l'utilisateur n'a aucune perception de contamination, d'utilisation à distance de sa machine, y compris si la machine est un serveur web référencée sur google!

Mais comment ces codes arrivent sur ma machine ?

Les délinquants d'aujourd'hui n'utilisent plus vraiment le courrier électronique pour déployer leurs attaques....Il y a trop de procédés antispam, antivirus, blocages de certains fichiers par extensions, etc...

Ils utilisent aujourd'hui le WEB, le surfe, le HTTP !

La technique ne date pas d'hier ! C'est la technique du defacing/défaçage.

En fait, certains serveurs web sont vulnérables par le biais des applications fonctionnant sur le serveur : php, sql, etc...

Ces failles, si ces applications ne sont pas mises à jour, permettent un accès quasi total sur les répertoires du serveur web où sont localisées les pages d'index et autres pages, type contact, forum, etc...

Les anciennes générations de pirates, dit 'joueurs', ne faisaient que insérer une image comme celle ci-dessous sur la page d'index du serveur web piraté !

Maintenant, les cyber-délinquants recherchent la transparence.

Ils utilisent les mêmes méthodes pour propager leurs codes, mais insèrent tout simplement dans le code de la page du serveur du code comme ci-dessous :

Pour les pirates les plus vicieux, ils inséreront une IFRAME transparente, comme l'exemple ci-dessous :

La technique de la IFRAME transparente est simple.

Le pirate va faire héberger un code VBS ou JS sur une de ses machines zombies, et lorsque le navigant viendra sur le serveur du site défacé, le navigateur de l'internaute, ira téléchargé de facon transparente ce code en infectant ainsi, non pas le serveur web, mais l'internaute lui-même.

Epidémiologie de ces techniques

Il ne faut pas cacher que ces technologies sont extrèmement bien maitrisées, et leurs propagations sont classées parmi les plus hautement emmergents.

Une évolution de +300% sur tout ce qui est StormWorm et StormBotnet depuis juin 2007, et une evolution parallèle équivalente pour tout ce qui est JavaScript, VBScript, Iframe, PHP et HTML dans les bases antivirales de Kaspersky... SUR LA MEME PERIODE...

Associé à ces technologies, viennent s'ajouter l'utilisation des codes modulaires.

Le principe du code modulaire est la possibilité de pousser dans une enveloppe programme chargé en mémoire, un certain nombre de codes sous-programmes en temps réel afin que cette enveloppe lance en temps reel une attaque.

Cela permet aux attaquants de changer le contenu de leurs malwares en moins de 1 heure sur les machines zombie .. et de n'être quasiement jamais détecté par les antivirus !

Les attaquants possèdent une base de données qui permet, à tout moment, de connaître le nombre exact de machines zombie en ligne, prêtes à recevoir une attaque ou à la lancer

Cette base de données peut avoir des options de réplications avec une ou plusieurs bases de d’autres cyber-délinquants....en d'autres termes les consoles des pirates sont standardisées afin de recevoir les bases de données de d'autres pirates!

Voici une console d'administration de machines zombies 'dites ancienne génération' dont le(s) pirates disposent :

Initialement la technique du botnet qui est installé sur les machines zombies des internautes envoie les adresses IP des machines zombies à une console d’administration sur la machine du pirate.

Le pirate pousse le code de son attaque sur sa console-serveur.

La console-serveur télécharge le nouveau code de l'attaque sur les machines zombies dans les codes modulaires.

La limitation de ce système est que le serveur qui déploie les attaques peut être localisé facilement. En effet, chaque machine zombie renvoie sur la même adresse IP ou nom DNS (console du pirate) ses propres informations. Lors de la découverte de ces informations, nous faisons fermer cette ip ou ce nom dns.

Résultat : le réseau zombie tombe, donc le pirate ne dispose plus de puissance de machines téléguidées.

C'est pourquoi, ils ont imaginé un nouveau concept : Les StormWorms et StormBotnet

Les StormWorms et StormBotnet

Cette console rapatrie les hosts (serveurs) décrivant des détails ultra-précis sur leurs taux d’efficacité et par pays permettant une attaque ciblée ou globale.

Comme on peut le constater, dans cette console nouvelle génération, il n'y a plus de notion du nombre d'adresses IP, mais on établi des calculs par rapport à des TAUX D'EFFICACITE!

Oui, si on revient sur mes explications concernant les FLOPs, les STORM BOTNET gèrent des puissances de calculs, qui sont géolocalisées.

Par conséquent, dans cette image on peut constater que le taux d'efficacité pour les USA est faible. La raison pour laquelle cette valeur est faible est que bon nombre d'américains éteignent leurs machines la nuit puisque la copie écran a été faite ... de la france aux heures ouvrées

Mais si on pousse la réflexion, certains gouvernements européens ont subis des attaques de Chine, il y a quelques semaines.

Oui, les attaques venaient de Chine, si on géolocalise les provenances des attaques....MAIS qui est le commenditaire ??? Et oui, puisque la console ci-dessus est une console WEB accessible depuis n'importe quel PC ayant une connectivité internet.... à méditer...

Bref, revenons sur la constitution des nouveaux réseaux paralléles STORM BOTNET :

Le Storm Botnet est programmé pour avoir une grande force de calcul (Flop) et obtenir une géolocalisation précises des zombies

Le principe de ce Botnet s’appuie sur la technologie du p2p.

Le storm botnet met en place des machines zombie qui agissent en tant que serveur (hosts) ou male. Chaque serveur (host) a un nombre limité de machines zombie attaquantes, mais qui dépendent d’au moins 3 serveurs (hosts) à 5...voir plus...

Par effet de maillage, on multiple en masse rapide le nombre de machines zombies tout en limitant les trafics réseaux disponibles pour des attaques diverses

Cet effet de maillage permet également d’auto-contrôler les puissances des microprocesseurs de chacune des victimes

Il permet également une grande longévité de vie d’un réseau zombie

Dans cette photo, les carrés représentent les machines hosts dites machine male.

Lorsqu'un internaute se fait contaminé par un storm worm, alors sa machine fera des tentatives d'infections sur 1000 ou 2000 machines du net... on ne peut donc pas prétendre à une épidémie. Mais chacune de ces machines vont à leurs tours essayer de contaminer 1000 à 2000 machines, et ainsi de suite.

Par contre sur les 2000 machines, certaines deviendront des machines hosts (machines males) et les autres femelles.

Chacune des machines femelles communiqueront avec les machines hosts (males) afin de télécharger de nouvelles attaques, soit des attaques nominatives, soit multiples.

Les gros interêts de cette technique sont que d'une part, si une machine host est détectée par un antivirus, les machines femelles continueront de communiquer avec les autres hosts (machines males).

C'est un peu le principe de KAZAA : Il y aura toujours l'existance de ce réseau, car il y aura toujours une machine cliente et une machine serveur, juste le minimum pour la survie de ce réseau parallele !

Quel est le principe de fonctionnement des males et femelles ?

L’enveloppe vide poussée après infection est inoffensive car elle ne possède pas encore de codes.

Elle attend que l’attaque soit envoiée sur son IP.

Le block sera rempli ultérieurement par l’intermédiaire d’un storm botnet en ‘push’ ou en ‘pull’ et être cacher avec un rookit.

Comme on peut le constater sur cette image, le Géniteur est le code qui sera poussé sur les machines males.

Ce code a un double header :

- Marker : code modulaire destiné pour les machines males ou host

- Block Information : code modulaire destiné pour les machines femelles.

Comme on peut le voir, les block modulaires peuvent être logés dans les micro-sections dans n'importe quelle zone de l'enveloppe, permettant ainsi de multiples attaques comme par ex : un faux server web/blog ET un serveur de mail pour propager du SPAM, etc...

Ce qui complique la détection des antivirus, puisque ces micros-sections ne sont réellement pas fixées à un endroit précis.

CONCLUSION

He oui! les codes modulaires sont un problème pour les antivirus.

Il est fortement recommandé d'utiliser les dernieres versions des suites des éditeurs antivirus, de choisir un antivirus très réactif au niveau de ces mises à jour de bases MAIS SURTOUT, surtout, utiliser une protection très poussée pour tout ce qui est surfe du traffic internet, en activant les détections heuristiques au maximum, l'utilisation d'une Proactive Defense poussée à son maximum.

Pour une entreprise, je ne saurai que recommander une protection antivirale renforcée au niveau des proxys HTTP.

Pourquoi ces précautions ?

Tout le monde a déjà vu, en surfant sur certains sites, des bannières publicitaires.

A chaque visite, ou pendant la visite, on peut voir défiler des bannières différentes.

Pour la propagation http des storm worms, le cyber-délinquants utilisent la même technique, sauf qu'au lieu de faire afficher des images publicitaires, ils font exécuter du code qui peut etre VBS, JS ou même des exécutables.

Pour ce faire, ils utilisent des moteurs de bannières aléatoires de ce type :

Dans cet exemple, j'ai pris NOTEPADxxx.EXE

En fait, le délinquant n'a qu'a déposer dans les faux serveurs web une url de redistribution pointant sur un ou plusieurs serveurs zombies.

Le résultat est interessant, car l'internaute (future victime) va télécharger aloéatoirement des codes différents...

Dans cet exemple, on va pouvoir accèder à ce type de téléchargement suivant, à chaque visite de la page :

- 1 ere visite :

- 2eme visite :

- 3eme visite :

Comprendre cette procédure

En fait, dans ce concept, il est facile pour le cyber-délinquant, de passer à l'antivirus, la totalité de ces codes mis à disposition des futures victimes zombie.

Dès qu'un de ces codes (ceux que l'on visualise dans le redirecteur ci-dessus) est détecté, il est simple et sans coupure de téléchargement, pour le pirate, de modifier un de ces codes afin de ne plus être détecté... et ainsi repousser sur ce serveur un nouveau StormWorm...

Un peu d'histoire

- En 1999, il fallait 10 à 15 jours pour les créateurs de virus pour exploiter des failles publiées sur les sites de sécurité!

- En 2003, 15 min suffisaient à développer un code malicieux exploitant une faille venant d'être référencée

- En 2007, moins de 4 min suffisent à développer un code malicieux exploitant une faille venant d'être référencée

On peut donc conclure que il faut impérativement pousser les analyses heuristiques et proactive défense à leurs maximum pour limiter les attaques ZERO DAY.

Les technologies et des process de fonctionnement évoluent de jour en jour.

Voici une technique qui, certes, est un peu compliquee à comprendre, mais qui

est cependant de plus en plus utilisée par les pirates cyberdélinquants

aujourd'hui.

Je vous renvoie sur ce post afin que vous puissiez mieux appréhender la

technologie Storm Worm et Storm Botnet.

Post Marc Blanchard : StormWorm et Storm Botnet

Comme je l'avais déjà expliqué dans ce post, les pirates vont utilisées des

méthodes de defacing de serveurs web afin de pousser leurs storm worms sur des

sites web commerciaux, informationnels, de paris en ligne, de casino, ou même de

jeux.

Afin de renforcer la longévité de leurs réseaux zombies, ils ont imaginé deux

techniques via des tentatives de pénétrations de serveurs web via du PHP

Injection ou du SQL Injection, attaques devenues aujourd'hui très courrantes.

Voici, après analyses de codes malicieux trouvés sur des serveurs Web, le

principe de fonctionnement.

Méthodologie 1 : Les serveurs WEB zombies autonomes

Le Principe est le suivant :

a. Le pirate exploite manuellement un certain nombre de serveurs internet

b. Sur ces serveurs, un botnet est installé par le délinquant.

c. Ce botnet a pour mission d'aller sur différents moteurs de recherches

(google, yahoo search, msn, altavista, etc) et font faire ressortir une liste de

serveurs web par thèmatique (sport, politique, jeux, etc)

d. les serveurs web contaminés vont alors tenter d'infecter ces nouveaux

serveurs trouvés par les moteurs de recherches. Les nouveaux serveurs web seront

alors exploités via des exploits PHP et/ou SQL afin de pouvoir pousser un botnet

sur ces serveurs

e. Une fois infecté, ces nouveaux serveurs web sont insérés dans une liste de

serveurs infectés et prêt alors d'utiliser, à leurs tours, les moteurs de

recherches..... La boucle est bouclée !

L'internaute, quand à lui, lorsqu'il arrivera sur ces serveurs web zombies,

verra son navigateur exploité par un storm worm hébergé par ces serveurs web

zombies afin que la machine victime fasse partie intégrante du réseau parallèle

zombies.

Méthodologie 2 : Les machines zombies des internautes qui enrichissent les serveurs WEB zombies

Le Principe est le suivant :

a. L'internaute infecté (utilisant sa machine zombiefiée ultérieurement) utilise

son navigateur pour aller sur un site.

b. Le storm worm présent sur la machine de l'internaute télécharge un à deux

exploits

c. Le site web que l'internaute demande se verra alors exploité par un des

serveurs web zombies par l'intermédiaire du navigateur de l'internaute.

d. Une fois ce nouveau serveur web défacé et infecté, un botnet a pour mission

d'aller sur différents moteurs de recherches (google, yahoo search, msn,

altavista, etc) et font faire ressortir une liste de serveurs web par thèmatique

(sport, politique, jeux, etc)

Les serveurs web contaminés vont alors tenter d'infecter ces nouveaux serveurs

trouvés par les moteurs de recherches. Les nouveaux serveurs web seront alors

exploités via des exploits PHP et/ou SQL afin de pouvoir pousser un botnet sur

ces serveurs

e. Une fois infecté, ces nouveaux serveurs web sont insérés dans une liste de

serveurs infectés et prêt alors d'utiliser, à leurs tours, les moteurs de

recherches..... La boucle est bouclée !

L'internaute, quand à lui, lorsqu'il arrivera sur ces serveurs web zombies,

verra son navigateur exploité par un storm worm hébergé par ces serveurs web

zombies afin que la machine victime fasse partie intégrante du réseau parallèle

zombies.

CONCLUSION

Il faut impérativement viellé à ce que l'antivirus soit bien à jour aux niveaux

des bases de signatures, et l'analyse heuristique doit être OBLIGATOIRE.

Un site d'un editeur de sécurité a été victime d'une attaque HTTP d'un storm worm sous forme de IFRAME, comme je l'ai expliqué dans le post http://marc-blanchard.com/blog/index.php/2007/12/21/41--dfinitionexplications-les-storm-worm-et-storm-botnet

Il s'agit d'une attaque IFRAME.

Une IFRAME est un redireteur d'une page web ou d'un téléchargement d'un fichier ou d'une image présent sur un autre serveur web.

En général, si il s'agit d'un storm worm, cette iframe est transparente à l'affichage et le téléchargement peut-être transparent sans popup selon le navigateur utilisé.

Les attaques storm worm en web/HTTP sont de plus en plus fréquentes....attention lorsque vous recherchez une information sur les moteurs de recherches...

Voici le post de JD-NET : Vendredi 14 mars 2008, 11h40 :

Alors que l'éditeur de sécurité mettait justement en garde les internautes contre la diffusion de programmes malveillants via l'intégration dans des pages Web légitimes d'iframe, il a lui même été pris pour cible.

Plusieurs pages Trend Micro comportaient ainsi un JavaScript redirigeant de façon invisible le navigateur vers un serveur hébergé en Chine installant un code malveillant destiné à dérober des identifiants d'accès.

Le 13 mars, McAfee comptabilisait 20 000 pages Web ainsi infectées. Les experts cherchent encore à identifier le mode d'attaque employé par les pirates pour infecter massivement des pages. Une faille dans la technologie Active Server Page (ASP) de Microsoft pourrait avoir été exploitée.

Microsoft met un peu de temps pour corriger la faille permettant de transformer l'ordinateur de l'internaute en machine zombie.

C'est tout a fait normal. En programmation, il existe des fichiers librairies appellés DLL. Ces fichiers sont des points communs inter logiciels. Ils permettent ainsi d'optimiser la lourdeur de plusieurs applications qui utiliseraient les mêmes fonctions.

En linux, ou solaris, ou encore Mac OS, il en est de même quant aux méthodes de programmations de ce type.

Quelles sont les conséquences de l'utilisation de ces librairies conjointes ?

La réponse est simple : une lenteur pour corriger les bugs ou trous de sécurité.

On prend l'expemple de Internet Explorer, voici une liste non exhaistive que IE utilise:

IEXPLORE.EXE 18172 ntdll.dll, kernel32.dll, msvcrt.dll,

                                USER32.dll, GDI32.dll, SHLWAPI.dll,          
                                ADVAPI32.dll, RPCRT4.dll, SHDOCVW.dll,       
                                comctl32.dll, SHELL32.dll, ole32.dll,        
                                MSCTF.dll, BROWSEUI.dll, browselc.dll,       
                                COMCTL32.dll, appHelp.dll, CLBCatQ.DLL,      
                                OLEAUT32.dll, COMRes.dll, VERSION.dll,       
                                UxTheme.dll, WININET.dll, CRYPT32.dll,       
                                MSASN1.dll, Secur32.dll, cscui.dll,          
                                CSCDLL.dll, SETUPAPI.dll, urlmon.dll,        
                                shdoclc.dll, mlang.dll, wsock32.dll,         
                                WS2_32.dll, WS2HELP.dll, mswsock.dll,        
                                wshtcpip.dll, RASAPI32.DLL, rasman.dll,      
                                NETAPI32.dll, TAPI32.dll, rtutils.dll,       
                                WINMM.dll, rdpsnd.dll, WINSTA.dll,           
                                PSAPI.DLL, msv1_0.dll, sensapi.dll, SXS.DLL, 
                                USERENV.dll, DNSAPI.dll, rasadhlp.dll,       
                                mshtml.dll, PDM.DLL, mdmui.dll, MSDBG2.DLL,  
                                msimtf.dll, IMM32.DLL, msohev.dll,           
                                jscript.dll, iepeers.dll, WINSPOOL.DRV,      
                                MSLS31.DLL, mshtmled.dll, imgutil.dll,       
                                pngfilt.dll, Flash9e.ocx, comdlg32.dll,      
                                msacm32.drv, MSACM32.dll, vbscript.dll,      
                                MFC42.DLL, MFC42LOC.DLL, schannel.dll,       
                                ddrawex.dll, DDRAW.dll, DCIMAN32.dll,        
                                dxtrans.dll, ATL.DLL, dxtmsft.dll

Ces DLLs sont communes avec des logiciels Microsoft de type MSN, OutLook, Office.

Par consequent, il est indispensable pour Microsoft de passer en bancs tests toutes les applications de leurs gammes afin d'assurer des bons fonctionnements pour la totalité des applications fonctionnant autour de ces librairies.

Ce n'est pas une chose facile, car cette faille ne touche pas seulement une version particulière mais pratiquement toutes les versions d'internet explorer.

Mais cette faille n'est pas uniquement la faille qui transforme les machines des internautes en machines zombies ou machines soldats

Pour resumer, il n'est pas forcement nécessaire d'avoir une faille dans votre navigateur pour être toucher par un zombie, que vous soyez en linux, ou windows, la problematique reste et restera toujours la même et encore plus aujourd'hui et demain car les infections se font de plus en plus de la façon que j'ai expliquée ici

Il faut alors se munir d'antivirus qui sont capables de détecter et d'agir lors d'infections actives, lisez plutot ici.

Des failles OS ou applicatifs sont publiées chaque jour et exploitées par les pirates en moins de 10 minutes. On ne pourra jamais corriger en temps reel toutes les failles, par consequent un antivirus et un parefeux de qualité vous éviteront bien des déboires, même si une de vos applications est vulnérable.

Nota : Bons nombres de navigateurs gardent des beaucoups de failles ....mais on le dit moins regardez une console zombie de ce type:

Comme vous pouvez le constater, en haut a gauche, un certain nombre de navigateurs qui ont et sont exploités par les réseaux zombies, failles ou pas.

Gardez en tête cette information capitale :

Tout logiciel, programme que vous exécutez sur votre ordinateur peut potentiellement contenir un code suspect.

Tout ce qui vient du monde libre, n'est pas forcément un code bienfaisant, car les codes sources peuvent etre modifiés tres facilement et remis en circulation sur des sites.

Donc méfiance !

2009 commence avec une infection dite fulgurente avec Autorunner.5555 alias confiker / kido / Worm_DOWNAD.

Ce storm worm utilise toutes les technologies les plus récentes, en utilisant, entre autres, les compétences transversales, complexifiant ainsi ses méthodes de propagations, mais également ses méthodes d'infections.

Son action est en train de servir pour l'ouverture d'un réseau parallele zombie de grande ampleur.

Pour des informations sur les réseaux paralleles zombies un peu moins scientifiques, j'avais été interviewé par TiVi Pro à ce sujet: Voir la Vidéo cliquer ici !

Voici le phonotype de Autorunner.5555 alias confiker

Rapport :

OPERATING SYSTEM : OS XP OS WIN 2000 WKS OS WIN 2003 SRV OS WIN VISTA

COMMENTAIRES ANALYSTE INFECTION PAR AUTORUNNER.5555 LES CLIENTS SUBISSENT UNE INFECTION HAUTEMENT EMERGENTE

PRODUIT DE NETTOYAGE : DRWEB CUREIT

COMMENTAIRES ANALYSTE LE CLIENT NE POSSEDANT PAS D'ANTIVIRUS RESIDENT NE STOPPANT PAS LE STORM, L'INFECTION BOUCLE CAR NOTION DE MACHINES INFECTANTES ET MACHINES INFECTEES PAR REBOND

IDENTITE EGENE : AUTORUNNER.5555

CLASSIFICATION EGENE : WORM A EMERGENCE RAPIDE DUE A DES TECHNIQUES DE STORM

HOTFIX NECESSAIRE : MS-08-067 MS-08-068

TECHNOLOGIE EGENE : PROXY-DOWNLOADER VULNERABILITE OS BACKDOOR BOTNET MULTI THREADING WORM PROCESS MUTEX DOWNLOAD EXPLOIT POLYMORPHE CODE MODULAIRE SCANNER DE PORTS ZOMBIE INTEGRATION NETWORK AUTORUNNER

PROPAGATION HAUTEMENT EMERGENTE

Commentaires :

Le probleme est que si sur la machine infectée on bloque le port 445, le storm essaie via les compétences transversales d'autres ports.

On a constater des refus de connexion sur les sites de mises a jour des antivirus, mais egalement un refus de mise a jour automatique de Windows Update (normal le storm est grandement freiné par l'application des patchs MS-08-067 et 068), pour se relancer, il peut utiliser également les commandes AT, qui correspondent au planificateur de tâches.

Concernant le nettoyage : Le nettoyage est fastidieux car il doit etre tres rigoureux.

Dans un premier temps, s'assurer que le résident temps reel de l'antivirus bloque bien la tentative d'infection venant d'une autre machine.

Deuxieme temps, s'assurer que le nettoyage est bien fait, et qu'il ne reste aucune trace.

Troisieme temps, patcher avec MS-08-067 et 068

Quatrieme temps, redemarrer la machine

Cinquieme temps, verifier les regles de parefeux qui ont du etre modifiee par le storm worm quelque soit votre parefeu logiciel.

Sixiemement, rescanner avec un scanner ex:CureIt pour etre sur de la non presence entre toutes ces manipulations du storm

Septiemement, bien redemarrer la machine apres le scan du point 6.

NOTA : Ce storm est hautement polymorphe due a ses modifications de codes en temps reel (infections actives)

Par consequent, il est possible qu'apres nettoyage complet, l'antivirus réagisse de nouveau. C'EST NORMAL !!! Il s'agit en fait qu'une autre machine infectée sur le réseau tente une infection, faisant ainsi réagir le temps réel de l'antivirus....mais si votre antivirus est efficace, aucune infection devrait apparaitre dans la machine nettoyee.

Confiker est toujours là !

Il évolue de jour en jour, et est redéveloppé au quotidien.

Pourquoi évolue-t-il de cette façon ?

Comme nous pouvons le constater avec l'image ci-dessous, une enveloppe vide est chargée en mémoire sans aucun code.

Cela implique que l'enveloppe attend un code dynamiquement et en temps réel venant via une technologie botnet pour agir.

Dans ce cas d'enveloppe vide, un antivirus traditionnel ne peut dans ce cas détecter ce type code. Seules des solutions de détections actives peuvent répondre à ce type d'egene.

C'est typiquement le fonctionnement de Confiker, qui, de par ses changements subtentiels, évolue à un vitesse fulgurente.

C'est pourquoi de nombreuses variantes maintiennent le réseau Confiker, un peu comme en dents de scie, au fur et à mesure que les détections génériques ou heuristiques puissent être mises à jour, pour déctecter de nouvelles variantes...on entre ainsi dans une course contre la montre ....

...à suivre....

Nombre d'entre vous me contacte pour me demander conseils de nettoyage pour ce botnet.

Je vous propose donc d'effectuer les procédures suivantes qu'il vous faut suivre scrupuleusement.

1. L'installation du patch est obligatoire sur tous les postes clients et serveurs du réseaux windows (OBLIGATOIRE).

Installer le patch Microsoft ( KB958644 ) disponible sur le lien ci-dessous:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx

2. Il vous faut bloquer temporairement les accès aux périphériques usb de votre réseaux afin d'éviter aux utilisateur de se faire réinfecter en connectant un périphérique disque usb.

Allez dans BitDefender management console, "créer un script WMI" Sélectionner "désactivez la mémoire de masse usb"

3. Modifier la politique "paramètres antivirus", et basculez le niveau de protection par défault en mode PERSONALISE en cochant toutes les options sauf analyse reseau et analyse des archives

Il faut, pour toutes les options en cas de detection malware, passer les actions que BitDefender doit entreprendre en cas de détection, METTRE EN QUARANTAINE

Assurez vous également que les mise à jour antivirus soient à jour la plus récente en appliquant la politique de "demande de mise à jour"

4. Modifier la politique "Politique d'Analyse",

5. Basculez le niveau de protection par défault en mode PERSONNALISE en verifiant si toutes les options sont cochées.

6. Vérifier que dans l'option Analyse sur fichier que l'Analyse tous les fichiers soit cochée .

7. Dans Action d'analyse, positionner toutes les premieres et secondes actions soit programmées en Mise en 40aine

8. Lancer une analyse sur chacun des postes du reseau

9. Si vous avez des OS Microsoft NT ou Windows Seven, même protégés, deconnectez PHYSIQUEMENT ces ordinateurs du réseau, ils sont vulnérables à ce jour, et Microsoft n'a pas encore sorti de hotfix sur la faille décrite sur le KB958644.

10. Si l'infection continue, prendre quelques postes remontés dans la console comme infecté.

10.1 Deconnecter ce poste physiquement du réseau local (retirer la prise réseau)

10.2 Lancer une analyse manuelle sur tout le disque

Si ce poste est contaminé offline, verifiez si le patch Microsoft ( KB958644 ) a ete installe par le biais d'ajout et Suppression de programmes

Si il n'est pas contaminé, refaire la procédure du point 10 sur quelques postes et / ou serveur. Cela implique qu'un des postes ou serveurs de votre réseau est encore contaminé et ne possède pas le patch Microsoft.

Si il est contaminé (offline), il vous faudra alors IMPERATIVEMENT le déconnecter physiquement (retirer la prise RJ45)

Il faut le patcher et l'eradiquer avec BitDefender.

Nota : Tant que ce poste n'est pas patché et que l'antivirus n'a pas fini son analyse, ne pas le reconnecter sur le réseau.

Si l'infection continue, cela implique qu'un des postes ou serveurs de votre réseau est encore contaminé et ne possède pas le patch Microsoft.

Il vous faudra le(s) trouver et appliquer la procédure à partir du point 10

CONCLUSION : Ce type d'infection représente un travail fastidieux à la désinfection. Appliquez les procédures à la lettre, et vous gangnerez votre temps.

Bon courage

Lot of people on Twitter or other social services uses shortcut urls to promote web sites informations.

For this the concept is quiet simple to use:

Example:

We have this orginal link :

http://marc-blanchard.com/blog/index.php/toc/toc

And go to the http://www.bit.ly

The result on the original link is the following:

http://bit.ly/cYdLPl

Other exists kind of such of services with the same concept exists with anonymizer options, or other kind of services, or the same concept like: http://ow.ly

The danger :

a. Lot of malware devs use now this technique :

- To promote compromized web sites

- To do not be detectable on antivirus or antiphishing web filters scan engines

- To do not be detectable on antispam engines, because lot of spams arrives now with such of technique to route you to compromized web sites.

b. You don't know what you get and where you go !

- The main problem is that when you click on such of link, you cannot know what or where you go and what kind of site you click...Just have to trust your contact person that sended you the link.

So you can download malware files, exploited PDF, goes to malicious web sites...You click, you access, you are infected automatically...too late!

Conclusion:

We currently talk a lot on ghostnet or botnet that are maintaining with malwares propagations thru search engine using also the httpp2p (http2p) techniques for their males and females codes (active infections).

The fact to use the underground referencing systems on search engine with this concept means that some fakes infected web sites or exploited areas can be numerous in the next future....

Techniques to follow carefully

Beaucoup de gens sur Twitter ou d'autres services sociaux utilise des URL de raccourci pour la promotion des sites web d'informations.

Ce concept est assez simple à utiliser:

Exemple:

Nous avons ce lien d'origine: http://marc-blanchard.com/blog/index.php/toc/toc

Aller sur http://www.bit.ly et taper l'url à raccourcir :

Le résultat sur le lien d'origine est le suivant:

http://bit.ly/cYdLPl

Autre type de services existent avec le même concept mais avec des options d'anonymisation, ou tout autre type de services, ou bien même concept, comme: http://ow.ly

Le danger:

a. Des lots de développeurs de logiciels malveillants utilisent maintenant cette technique:

- Pour la promotion des sites web compromis ou malveillants

- Pour ne pas être détectable par les antivirus ou anti-phishing et ainsi bypasser les filtres des moteurs d'analyse

- Pour ne pas être détectable par les moteurs antispam, parce que beaucoup de spams arrive maintenant avec celle de cette technique.

b. Vous ne savez pas ce que vous obtenez et où vous allez!

- Le principal problème est que lorsque vous cliquez sur ce lien, vous ne pouvez pas savoir ce qui est derrière ou où vous allez et sur quel genre de site, vous cliquez ... Suffit de faire confiance à votre interlocuteur qui vous a envoyé le lien.

Ainsi, vous pouvez télécharger des fichiers malveillants, des exploits PDF, vous dirriger sur des sites web malveillants ... Vous cliquez, vous accédez, vous êtes infecté automatiquement ... trop tard!

Conclusion:

Nous parlons actuellement beaucoup sur les réseaux paralleles de type GhostNet ou botnet qui sont maintenant les centres de gestion et de propagations malwares grâce à des moteurs de recherche en utilisant le httpp2p (http2p), techniques pour leurs codes malveillants males et femelles contribuant aux infections actives via requêtes en temps réel en RAM. Le fait d'utiliser les systèmes de référencement de ce type sur le moteur de recherche avec ce concept signifie que les sites Web infectés deviendrons de plus en plus visités et constituront des zones exploitées sans pour autant y être inquiétés ....

Techniques de suivre attentivement

This is a shortcut of latest news on Botnet activities. These informations are promoted by twitter.

Samedi 8 mai 2010 – dans la soirée

Pour sa deuxième édition, l’iAWACS (International Alternative Workshop on Aggressive Computing and Security) organisé par ESIEA (Ecole Supérieure d’informatique, électronique et Automatisme) a démontré qu’aucun antivirus du marché n’empêche l’exécution de programmes malveillants. Les défenses basées sur les listes noires de programmes d’attaques des antivirus laissent passer des attaques, dont certaines sont assez simples ou assez anciennes.

Suivez le lien sur MagSecurs.com

Même si je suis anti-contest de ce type, j'aimerai apporter un commentaire aujourd'hui, car vous êtes nombreux à me solliciter pour connaître mon point de vue :

Le challenge de l'IAWACS permet comme dans tout contest (les sécurités linux, réseaux, applicatifs, etc) de démontrer que tout ce qui est créé par l'homme peut être détruit par l'homme.

Dans un premier point, ce contest est intéressant, et montre bien, que les analyses actuelles ont leurs limites, mêmes celles qui utilisent des technologies de proactivités.

Le second point démontre également, que des attaques non référencées développées dans le but de nuire à une entreprise ou à un individu sont tout à fait possible sans aucune détection.

Mais il ne faut pas que le lecteur, au vu de ces résultats qui sont des résultats logiques de part les développements de malwares spécifiques, s'imagine que les antivirus et autres suites de sécurité n'ont aucune utilité.

Une suite antivirus est la ceinture de sécurité de l'ordinateur de l'utilisateur. Cela n'empêchera pas d'avoir un accident, mais les risques seront minimes et le protègera au maximum.

Le SANS Internet Storm Center nous indique que sans protection, une machine connectée au net a un temps de survie de moins de 3 minutes, ensuite les attaques réseau ou de malwares sont tellement nombreuses que la machine finie par deny of service de sa couche réseau voire du système.

Par conséquent, un antivirus arrête 99% des attaques et codes malveillants dits In The Wild, c'est à dire les codes malveillants transitant de façon autonome, transparente sur le réseau et USB, seront arrêtés et nettoyés...l'utilisateur pourra continuer d'utiliser sans problème son ordinateur.

Sans antivirus, l'ordinateur serait un véritable vivier de codes malveillants et un soldat de botnet et ghostnet de deny of services pour contribuer à des attaques d'institutions ou de pays, voire même participant actif de groupes d'hacktistes notoires.

Ca laisse à réfléchir!!!

Voici un plan de cablage du contient africain qui devrait voir le jour début 2011.

100 millions d'internautes sont attendus avec une interconnexion océanique à 1300 gigabits directe avec les backbones francais.

... portes ouvertes aux développements encore plus denses des botnets et ghostnet.

..à suivre...

I remind some re-publishers that these researches are under copyright and you must contact me for more information’s.

Ghostnet networks : are you a soldier ?

First of all, what is the difference between botnet and ghostnet?

The term ghostnet was used for different attacks from china computers.

Techniques used were interesting to make researches, because, the attack flows were so intense that scientifically difficult to confirm there were botnet capabilities.

The main difference that botnet activities don’t use the multi-level ramification networks, and don’t use the cloud techniques.

We will see in this section the main difference between botnet and ghostnet.

What is the current situation?

Here are the different types of delinquencies that a simple user computer is able to have?

Type of home user spying:

To spy users:

Mails accounts (passwords, secure web site accesses, etc)

Web2.0 acounts

Credit cards, bank logins and bank accounts,

Evasion of identity cards, passports, driving licenses, social security cards & numbers

Internet providing to make the user computer as a SPAM servers or bot (Zeus)

Underground Billing system for Rogues & FakeAlert business

Underground botnet administration consoles or Databases of zombie computers

Internet providing to make the user computer as a SPAM servers or bot (Zeus)

Cyberwar soldier from the home computers users :

Botnet soldier : most of time IRC techniques are used

Ghostnet soldier : use the HTTP2P techniques

Internet providing to make the user computer as attacks codes and instructions repository (most of time encrypted on the hard disk and hidden on bad physical hard disk sectors)

The attack sequences and the logical steps that the soldier (the home computer) can do

Logs repository of the status and states of the current attack

This computer has its own fake domain attribution transparently.

Here is ghostnet malware encyclopedia phenotype that shows us the computer user perception face to such of malware. These perceptions are typically the behaviors that a computer and/or system can show on a normal uses. So these perceptions are often ignored by users.

The reality is other!

Here is ghostnet malware encyclopedia phenotype that shows us all the potential ghostnet technologies that can be invisible and found randomly on computer users (depending the power of the ghostnet)

Ghostnet:

It is a world wide exponential capacity of botnet transformations.

Ghostnet techniques use the clouding on HTTP2P protocol.
They use internet dynamic DNS the most useable to make the user computer as a soldier
They do some bridge reference on search engines as google, yahoo search, ask, etc of home users or enterprise computers
They can have the control to make the computer as a bridge, a repository and/or an attacker

Objectives:
DOS,
DDOS of countries
DDOS important sales companies (VOD, streaming, corprates sales, etc),
To be repository of countries strategies, political, or other documents,
To be repository of terrorist schema and documents
To maintain a quality of service of the ghostnet on calculation and bandwidth capabilities
To be repository of FAKEAV and Rogues billing systems
To stay undetectable by AV and Firewalls including hardware firewalls.

The Clouding or Cloud Computing:

Is the technique that let to move all computer software’s, services, billing to a powerful and professional computers/servers infrastructures. In fact, it is a wonderful marketing invention to force customers and enterprise to pay more and more. Anyway, they will explain lot of advantages like your computers need more power, don’t buy, we will provide you the software on several big servers!!!! You see the message!

Anyway now all is on the cloud, have a look on the following pictures:

In fact, it is the BOINC that demonstrate that the cloud can work. The SETI@Home is a perfect example to cloud the results that screen savers calculations do on users computers during that they drink … coffee, of course !

Today, the SETI@HOME has PER HOUR 573.000 online computers for a POWER of 5,551.80 Teraflops.

The ghostnet is the MANDATORY evolution of botnet that need to be more and more big. I already publish some posts concerning my researches on botnet on this blog.

Historical steps :

Since the born of downadup (confiker) I start epidemiological researches. I put in place a controlled active contaminated architecture, and let the malware to live its life. Millions of logs had been collected to analyze its behaviors since the start period.

In end of august 2009, my probes sent me some information’s that some behaviors changed : some files were created, checksums changed regularly, but no other new processes were created.

I decided to reinforce the controlled contaminated infrastructure and decide to open not one network but three geographically and networks independent in my campus.

In February 2010, the network activities were different as usual, but the files continue to change as usual.

Here are the results of these latest months since Feb 2010.

The ghostnet uses clouding on several layers of computers. The botnet only one. Ghostnet uses the network, CPU, RAM capabilities of infected users computers.

Malware clouding that use networks multi-layers, let the ghostnet to reinforce the number of active computers, but also to have an enormous bandwidth and power of CPUs calculations.

Here are the theorical predictions of capabilities shown on the 3 different infrastructures of the contaminated controlled networks on the campus:

As we can see on this picture, that after isomorphic researches and the homomorphic report, the behavior changes depending the bandwidth network, cpu and ramp capabilities. It is interesting that with the same malware codes executed on the same time, on several differents networks, computers and architectures, that the behaviors are different.

The following screen shot show the bridge techniques used now but this malware. In fact, at its borning, the reseaches were based on more than 500 domains names each two hours. Today the malware search 5 domains names, because they use only ONE same domain name, but the IP change as shown the following shot. It is the same domain name, but have a look on the IPs. The 2 shots were taken at 3 minutes intervals.

Here is the experimentation that was done the D day to analyze the ramifications.

I describe you the processes done on this experimentation:
I installed before infection a network probe
I infect a controlled home user computer
I wait that the fake domain name was created for this computer

I wait that this computer is referenced on the search engine

We can start the experimentation.

The worm will start the research activation of other hosts computers the most near of our infected computer geographically. In the following picture, the worm goes to fr.ask.com because the IP of our infected computer is located in France. By this search engine, the worm will find some hosts to be include on ramifications the most closed geographically OR and this is important to know, will join the ramification that is needed. In other words, if one of ramifications needs some specific capacities to survive, our infected computer will join this particular ramification!

Once done, we are ready to start the ramification profiling.

We take the fake domain name that the worm tries to reach. Our probe will give the IP corresponding of the fake domain name.

So we profile the fake domain name by its IP in the first step.

We will see if the IP is a standalone computer, in this case we are in front of botnet techniques, if it is more than one IP, that’s mean ramification.

In this case, we are face of a ghostnet. You can see multiple fake domains names referenced at this step.

That’s mean that the IP address that our infected computer tries to reach is a ‘Bridge’

What we can conclude at this step:
A. we are face to a clouding network B. it demonstrates that the evolution of this worm was done, and that now, no need to try to reach 500 fake domains to check if attack codes or instructions are available, only one or two are enough.

Let continue our investigation. I will choose one of these domains to follow to check if the stair of ramification is stop after this first stair or not.

We can see that a ramification is there

Now, I will show you two cases:

An other ramification that will drive us to another one.....

And in the following picture, we can see the ended point. This end point is a simple computer user.

All of this, what for?

They have power with the infrastructure that we know now. The every day is to get some new computers to increase more and more the power of such of invisible network.

The preferred ghostnet attacks are the DDOS.

In fact, simple floods are sended to the victims or branch of victims.

The following picture will show an example (in french but easily translated by the concept) :

What is the real power of such of malwares network?

A scientist published a graphical of his researches concerning this kind of network. That is demonstrating the power of such of network.

Security point:

Users must understand that new generations of worms knows how to modify the software firewall, but also the xDSL boxes (the worm tries to connect itself on SSH or http with brute force techniques.

Here is an example of a Orange LiveBox that keeps the factory user/password authentification, I mean : admin/admin

The blue lines are the lines that be added by the worm. We must note, that the worm didn’t open any port on the .15, because it is a linux computer. But the 2 others IP are infected by the ghost. We also can note, that only 1 IP has the 80 port opened not both.

I currently in contact with CISCO R&D, and thy will give me a security software that is able to give me more reports.

To be continued on this section….

Etat des lieux :

Type de délinquances qu'un simple PC peut héberger :

Espionnage des particuliers:

Comptes mails (mots de passe, accès sites sécurisés, etc)
Comptes Web 2.0
Identités et comptes bancaires
Carte d'identité, passeport, impôts, cartes grises, permis de conduire (documents scannés) au vue de création de faux
Machine zombie pour propager du SPAM (Zeus)
Hébergeur de systèmes de billing pour les FakeAV (mules)

CyberGuerre à partir des machines des particuliers:
Soldat de botnet : essentiellement en IRC
Soldat de ghostnet : en HTTP2P
Hébergeur de codes d'attaques
Des séquences d'attaques
Des logs des états lorsque les attaques sont en cours
L'hôte est référencé sur les moteurs de recherches

Voici un phénotype de ma base encyclopédique malwares qui montre le peu de perception par l’utilisateur face à une infection de ce type. Ces perceptions ne sont que des comportements fréquent du système et donc fréquemment ignorées par les utilisateurs.

La réalité est tout autre !

Voici un phénotype de ma base encyclopédique malwares qui montre toutes les technologies invisibles et pouvant être installées sur la machine de l’internaute à son insu et pleinement fonctionnelles.

Les Ghostnet :

C'est une évolution de grande ampleur des techniques botnet vers un réseau de machines zombies utilisant les technologies suivantes :
CLOUDING via le protocole HTTP-P2P,
Référencements sur les moteurs de recherches
Notion des machines soldats
Bridge de répartition de machines soldats
Processus de calculs des machines dépendantes du bridge

Objectifs:

Les DOS,
DDOS de pays gênants
DDOS des sociétés commerciales gênantes,
Héberger des plans et documents d'états,
Héberger des plans et documents terroristes,
Envoyer des informations nécessaires aux actions terroristes du monde réel
Entretenir une puissance de calcul et de bandes passantes importantes
Création de faux serveurs pour les FakeAV,
Phishing, vols
Rester indétectable

Le clouding ou le cloud computing:

C'est une technologie qui permet d'offrir des services ou logiciels, qui sont déportés sur de grandes infrastructures professionnelles, aux usagés sans aucune (ou presque) installation locale. Cette extraordinaire invention marketing est essentiellement faite pour faire payer les utilisateurs davantage...on leur expliquera que les ordinateurs qu'ils possèdent ne sont plus assez puissants!!!

Le clouding s'est largement développé, et voici un petit résumé de quelques applications/services de cloud computing.

Avantages Pour les TPE/PME:
Bénéficier d'une infrastructure technologique très performante
Bénéficier d'aucun frais de maintenance ou presque
Payer des services logiciels au besoin et à la demande

Pour les grandes structures Bénéficier des dernières innovations logicielles Baisser les coûts administratifs et d'administrations informatiques Bénéficier d'intégrations sur mesure en fonction des standards logiciels/machines du moment Bénéficier d'aucune rotation de matériel serveurs et donc d'administrations réseaux

Désavantages :
La sécurité
La qualité des chiffrements des données
La disponibilité des connexions internet
Les rapidités des lignes internet
Les payements à la demande !

C'est BOINC, qui a été le précurseur dans le domaine du clouding avec les calculs scientifiques du SETI@Home nécessaire pour déporter les unités de calculs puis rapatriement des résultats par le net.

Le principe est simple, un screen saver spécifique se met en mode calcul pendant les inactivités du processeur.
Tout cela a été développé pour des raisons de manque de budgets pour des acquisitions de gros calculateurs.

Aujourd'hui, le Boinc héberge de plus en plus de projet du type SETI@HOME. Le seti, aujourd'hui, a 573.000 machines d'internautes pour une puissance moyenne par heure d'environ : 5,551.80 TeraFLOPS.

Le ghostnet est l'évolution OBLIGATOIRE des botnets de grandes envergures. J'avais traité du sujet botnet sur ce blog, je ne vais donc pas y revenir.

Nous allons étudier cette évolution dans ce post.

Historique : J'ai commencé des études épidémiologiques sur le ver Confiker mutant dès sa naissance.
Depuis février 2010, a évolué de façon émergente du mode technologique du botnet au monde ghostnet, actuellement utilisé.
Les études ont bien démontré que ce ver est en constante évolution.
Je me questionne sur le pourquoi des chercheurs en sécurité informatique délaissent les technologies utilisées par ce ver.

Aller, on va dire que c'est parce qu'ils le détectent : FAUX!

Où bien parce que les patchs Microsoft empêchent le ver de se propager : FAUX.

Je m'explique :

La principale différence entre le monde du botnet et celui des ghostnets est qu'un réseau botnet interface ses clients et ses serveurs de façons nominatives via les IRC ou même celui des référencements sur certains moteurs de recherche de machines d'internautes avec des noms de domaines aléatoires.

Ces machines intégrant un réseau botnet ont une mission de serveur hébergeur ou de client sur un seul niveau Ethernet (à ne pas confondre avec internet;-)
En d'autres termes, les machines d'un réseau de botnet utilisent la technique que l'on ne nomme plus du 'Client/Server'. Un ou plusieurs clients communiquent avec un serveur nominatif.

Le monde des réseaux ghostnet est différent.
On utilise le clouding pour multiplier les puissances de calculs, de stockages, de transmissions de données contenant les instructions des attaques (codes, durée, victimes, stratégies, etc) et contrôler les réplications et gestions des bridges.

Un bridge est un procédé utilisé dans le monde du clouding qui consiste à donner un nom de domaine pour le service offert, et le répartir sur de multiples serveurs qui héberge le service concerné.

Les ghostnet utilisent cette technique afin de renforcer le nombre de machines actives, et obtenir une infrastructure de très forte puissance.

Voici un résultat théorique s’appuyant sur les comportements des différentes mutations de codes et en fonction des puissances des machines, des capacités RAM et bandes passantes que mon campus antimalware a pu vérifier sur diverses plateformes présentes sur le campus antimalware (deux réseaux contaminés indépendants au niveau hardware, lan et connexions internet sur Paris, idem sur un seul réseau contaminé sur la Vendée) :

En fonction des puissances machines, RAM et bandes passantes, il s’est avéré avec les résultats d’études isomorphiques et le compte-rendu des recherches homorphiques, que les comportements d’une machine à l’autre, d’un réseau à l’autre et d’une connexion internet différente de l’autre, des comportements différents.

La copie écran si dessous, démontre bien que le même nom de domaine qu'une machine hôte infectée va rechercher, à quelques minutes d'intervalle, est dirigée sur des adresses IP différentes.

LES RAMIFICATIONS INFECTEES au jour J de l'expérience:

Voici les procédés effectués dans cette expérience.

On infecte une machine utilisateur saine avec le ver.
On y installe une sonde réseau.
On attend que les référencements de nom de domaine dynamique, qui est associé à cette machine utilisateur, soient effectués par le ver.

On attend que la machine soit référencée sur le net.

On commence l'expérience.

Le vers va commencer une activation de recherche de machines hôtes afin qu'il se géolocalise dans une infrastructure réseaux la plus réactive à ses requêtes réseaux. Dans l'exemple ci-dessous, il cherche sur fr.ask.com ses ramifications.

Une fois effectuée, le ver va s'implémenter dans une des ramifications réseaux que nous allons pister pour l'expérience.

Nous prenons un des noms de domaines que le ver contacte. Grâce à notre sonde, nous allons vérifier l'adresse IP qu'il appelle en fonction du nom de domaine.

Nous tentons de tracer cette adresse afin de vérifier si nous sommes en technologie hybride botnet/ghostnet ou bien en technologie pure ghostnet.

Dans le cas d'un botnet, nous n'aurions qu'une seule IP de visible par rapport au nom de domaine.

Nous sommes donc en présence d'une technologie ghostnet.

Cette adresse est donc un bridge, car elle référence une multitude de noms de domaines.

Nous prenons un des noms de domaines afin de continuer notre investigation.

On s'aperçoit sur l'image ci-dessus, qu'une autre ramification est présente.

Nous allons montrer deux cas de figure:

Une autre ramification à partir de cet étage de ramification, qui devra être suivie jusqu'à la terminaison pour finir l'étude de l'investigation de la branche.

Et voici une terminaison de la ramification à partir de ce niveau :

Tout cela pour quoi faire?

Les attaques préférées de ce ghostnet sont les DDOS.

De simples flood sont envoyés à un serveur victime, ou branche de serveurs victimes

Explications de l'attaque sur ce schéma:

Quelle est la puissance d'un tel ver comme Confiker ?

Un confrère chercheur/épidémiologiste a publié un compte-rendu graphique qui démontre bien la puissance d'un tel ghostnet:

Coté sécurité:

Il faut impérativement surveiller les pare-feux logiciels mais également des box ADSL.

Voici un exemple d'une LiveBox ayant conservée les authentifications d'usines : admin/admin

Les lignes surbrillées sont les lignes qui ont été ajoutées par le ver. Il est à noter qu'il ne s'est pas trompé, car la .15 est un linux tandis que les deux autres machines sont infectées.
Je travaille actuellement avec les gens de CISCO qui ont mettent à disposition un logiciel de traçage de botnets, qui devrait bloquer les émergences/attaques botnet mais également ghostnet ou réseaux invisibles.

A suivre dans cette section….