Présentation botnet u_laval

© Bell Canada, 2009. Tous droits réservés

La menace La menace La menace La menace fantômefantômefantômefantôme

Les Les Les Les BotnetsBotnetsBotnetsBotnets::::

Michel CusinPrésentation – Université Laval

26 Novembre 2009

____


Question de perception…

Selon vous,

Quel incident de sécurité est le plus grave entre:

• Un vol de données et un vol de données ?

• Savoir ou ne pas savoir que nous nous sommes faits voler ou modifier des données ?

• Un vol d’ordinateur et être infecté par un bot ?


Qu’est-ce qu’un botnet ?

Client IRC Cuba

Serveurs IRC (Internet Relay Chat)

RelaisJapon

RelaisSuisse

RelaisChine


Méthodes de propagation


La clé USB


Réseau de Corporatif

X OK












Botnet IRC

Cas vécu


Peer to peer botnet


•Technique connue pour dissimuler des sites de phishing, de malware et utilisée par les botnets.

•Cette technique utilise les caractéristiques techniques du protocole DNS permettant d'attribuer à un même nom de domaine de nombreuses adresses IP.

• Il est possible, afin de répartir les charges entre plusieurs serveurs, d'attribuer plusieurs adresse IP à un seul nom de domaine. Cette technique, Round Robin DNS, est associé avec un TTL très bas et ce afin que les serveurs changent l'adresse attribuée très régulièrement.

Fast flux botnet


Fast flux botnet


Botnet contrôlé via Twitter / Google Groups


TOR: The Onion Router


Shadowserver Foundation


Shadowserver Foundation


Les 10 botnets les plus recherché aux USA

Source: http://www.networkworld.com/news/2009/072209-botnets.html

• 1) Zeus (3.6M) -> Spécialité: Trojan, key logger,

•Vol des données sensibles (noms d'utilisateur, mots de passe, numéros de compte et numéros de carte de crédit.)

• Il injecte de faux formulaires HTML (banque en ligne) pour voler les données utilisateur.

• 2) Koobface (2.9M) -> Spécialité: Réseaux sociaux, (Ing. Soc.)

•Serveur Web, fausses annonces, installe un Antivirus malicieux,

•Déjoue les CAPTCHA, vole des données,

•Hijack les sessions Web, Change les Domain Name System (DNS)




• 3) TidServ (1.5m): -> Spécialité: Trojan, Spam,

•Utilise des techniques de rootkit pour courir à l'intérieur des services communs de Windows (parfois fourni avec un faux logiciel antivirus), peut cacher la plupart de ses fichiers et ses entrées de registre.

• 4) Trojan.Fakeavalert (1.4M) -> Spécialité: Spam, Malware

•Autrefois utilisé pour du spam, ce botnet télécharge maintenant d'autres programmes malveillants, comme les fausses alertes et les faux logiciels antivirus.

• 5) TR/Dldr.Agent.JKH (1.2m): -> Spécialité: Clickbot

•Le clickbot sert à générer des revenus (publicité) pour le botmaster.




• 6) Monkif (520K) -> Spécialité: Adware

• Se concentre actuellement sur le téléchargementd’un adware sur les systèmes.

• 7) Hamweq (480K) -> Spécialité: Réplication, Backdoor

•Se réplique sur les système ainsi que tous les médias amovibles qu’il trouve. Il s’exécute automatiquement lors de l’accès à un de ceux-ci.

•Il crée des entrées de registre pour permettre son exécution automatique à chaque démarrage et s'injecte dans Explorer.exe.

•Le botmaster peut l’utiliser pour exécuter des commandes et recevoir des informations du système compromis.




• 8) Swizzor (370K) -> Spécialité: Trojan, Adware

•Télécharge et lance des fichiers à partir d'Internet sur la machine de la victime à l'insu de l'utilisateur.

•Installe des adware et autres chevaux de Troie.

• 9) Gammima (230K) -> Spécialité: Trojan, Rootkit

•Se concentre sur le vol de mots de passe et informations de compte de jeux en ligne.

•Utilise des techniques de rootkit pour se charger dans l'espace d'adressage d'autres processus communs, tels que Explorer.exe

•Se répand à travers les médias amovibles comme les clés USB.

•Il est aussi connu pour être le ver qui monta dans la Station spatiale internationale à l'été 2008.




• 10) Confiker (210K) -> Spécialité: Propagation

•Également appelé Downadup,

•S'est propagé de manière significative à travers le monde, mais pas tant aux Etats-Unis

•Il s'agit d'un téléchargeur complexe qui est utilisée pour propager autres logiciels malveillants.

•Ne semble actuellement pas avoir de but réel autre que de répandre.

•Observateurs de l'industrie craignent un effet plus dangereux vont émerger.


• Déni de service (DoS et DDoS);

Évolution des buts et motivations

• Faire diversion;

• Vol / modification d’information, espionnage;

• Location de botnets. Louez-un botnet dès maintenant !•24 heures d’attaque - 70$

•12 heures d’attaque - 50$

•1 heure d’attaque - 25$

• Objectifs militaires …?

• Crime organisé (Risque faible profit élevé);

• Phishing, Spamming, Clickbot;


Questions ?Questions ?


Business

Présentation botnet u_laval