Présentation botnet u_laval

La menace La menace La menace La menace fantômefantômefantômefantôme

Les Les Les Les BotnetsBotnetsBotnetsBotnets::::

Michel CusinPrésentation – Université Laval

26 Novembre 2009

Question de perception…

Selon vous,

Quel incident de sécurité est le plus grave entre:

• Un vol de données et un vol de données ?

• Savoir ou ne pas savoir que nous nous sommes faits voler ou modifier des données ?

• Un vol d’ordinateur et être infecté par un bot ?

Qu’est-ce qu’un botnet ?

Client IRC Cuba

Serveurs IRC (Internet Relay Chat)

RelaisJapon

RelaisSuisse

RelaisChine

Méthodes de propagation

La clé USB

Réseau de Corporatif

Botnet IRC

Cas vécu

Peer to peer botnet

•Technique connue pour dissimuler des sites de phishing, de malware et utilisée par les botnets.

•Cette technique utilise les caractéristiques techniques du protocole DNS permettant d'attribuer à un même nom de domaine de nombreuses adresses IP.

• Il est possible, afin de répartir les charges entre plusieurs serveurs, d'attribuer plusieurs adresse IP à un seul nom de domaine. Cette technique, Round Robin DNS, est associé avec un TTL très bas et ce afin que les serveurs changent l'adresse attribuée très régulièrement.

Fast flux botnet

Botnet contrôlé via Twitter / Google Groups

TOR: The Onion Router

Shadowserver Foundation

Les 10 botnets les plus recherché aux USA

Source: http://www.networkworld.com/news/2009/072209-botnets.html

• 1) Zeus (3.6M) -> Spécialité: Trojan, key logger,

•Vol des données sensibles (noms d'utilisateur, mots de passe, numéros de compte et numéros de carte de crédit.)

• Il injecte de faux formulaires HTML (banque en ligne) pour voler les données utilisateur.

• 2) Koobface (2.9M) -> Spécialité: Réseaux sociaux, (Ing. Soc.)

•Serveur Web, fausses annonces, installe un Antivirus malicieux,

•Déjoue les CAPTCHA, vole des données,

•Hijack les sessions Web, Change les Domain Name System (DNS)

• 3) TidServ (1.5m): -> Spécialité: Trojan, Spam,

•Utilise des techniques de rootkit pour courir à l'intérieur des services communs de Windows (parfois fourni avec un faux logiciel antivirus), peut cacher la plupart de ses fichiers et ses entrées de registre.

• 4) Trojan.Fakeavalert (1.4M) -> Spécialité: Spam, Malware

•Autrefois utilisé pour du spam, ce botnet télécharge maintenant d'autres programmes malveillants, comme les fausses alertes et les faux logiciels antivirus.

• 5) TR/Dldr.Agent.JKH (1.2m): -> Spécialité: Clickbot

•Le clickbot sert à générer des revenus (publicité) pour le botmaster.

• 6) Monkif (520K) -> Spécialité: Adware

• Se concentre actuellement sur le téléchargementd’un adware sur les systèmes.

• 7) Hamweq (480K) -> Spécialité: Réplication, Backdoor

•Se réplique sur les système ainsi que tous les médias amovibles qu’il trouve. Il s’exécute automatiquement lors de l’accès à un de ceux-ci.

•Il crée des entrées de registre pour permettre son exécution automatique à chaque démarrage et s'injecte dans Explorer.exe.

•Le botmaster peut l’utiliser pour exécuter des commandes et recevoir des informations du système compromis.

• 8) Swizzor (370K) -> Spécialité: Trojan, Adware

•Télécharge et lance des fichiers à partir d'Internet sur la machine de la victime à l'insu de l'utilisateur.

•Installe des adware et autres chevaux de Troie.

• 9) Gammima (230K) -> Spécialité: Trojan, Rootkit

•Se concentre sur le vol de mots de passe et informations de compte de jeux en ligne.

•Utilise des techniques de rootkit pour se charger dans l'espace d'adressage d'autres processus communs, tels que Explorer.exe

•Se répand à travers les médias amovibles comme les clés USB.

•Il est aussi connu pour être le ver qui monta dans la Station spatiale internationale à l'été 2008.

• 10) Confiker (210K) -> Spécialité: Propagation

•Également appelé Downadup,

•S'est propagé de manière significative à travers le monde, mais pas tant aux Etats-Unis

•Il s'agit d'un téléchargeur complexe qui est utilisée pour propager autres logiciels malveillants.

•Ne semble actuellement pas avoir de but réel autre que de répandre.

•Observateurs de l'industrie craignent un effet plus dangereux vont émerger.

• Déni de service (DoS et DDoS);

Évolution des buts et motivations

• Faire diversion;

• Vol / modification d’information, espionnage;

• Location de botnets. Louez-un botnet dès maintenant !•24 heures d’attaque - 70$

•12 heures d’attaque - 50$

•1 heure d’attaque - 25$

• Objectifs militaires …?

• Crime organisé (Risque faible profit élevé);

• Phishing, Spamming, Clickbot;

Questions ?Questions ?

Présentation botnet u_laval

Business

Paper Presentation - "Your Botnet is my Botnet : Analysis of a Botnet Takeover"

Lyamin beyond the botnet

Tấn công DOS DDOS DRDOS và BOTNET

About Botnet, and the influence that Botnet gives to broadband ISParchive.apnic.net/meetings/22/docs/apops-pres-akai... · Japanese carriers fight against Botnet • A company’s

Shuabang Botnet

Botnet Traffic Detection Techniques by C&C Session ...users.sch.gr/sidmakis/botnets/papers/Botnet Traffic... · Botnet Traffic Detection Techniques by C&C Session Classification

BOTNET Detection and Prevention

DETECTING, CLASSIFYING AND EXPLAINING IOT BOTNET … · 2019-08-03 · participation of said devices in botnet attacks, and as such novel methods for IoT botnet attack detection are

Tendencias 2011: las botnet y el malware dinámico

Modelowanie i symulacja cyberzagrożeń typu botnet

Botnet : réseau de machines zombies - Ministère des … · PIRATE INFORMATIQUE CRIMINELS Creative Commons RCC Un botnet est un réseau d’ordinateurs contrôlés à distance par

Ataque Presente, Defensa Continua. Shuabang Botnet: Botnet en Google Play para hacer Black ASO

99 botnet期末簡報

Botnet for dummies

BotGraph: Large Scale Spamming Botnet Detection

Botnet Judo: Fighting Spam with Itself

Zombie botnet-nguyen vanluan

C&C Tracer: Botnet Command and Control Behavior Tracing

Mirai botnet

Gömülü Cihaz Güvenliği ve Zollard Botnet Analizi