Zombies et Botnets

Zombies et Botnets

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Calcul distribué, Zombies et Botnets

Calcul distribué
Zombies et BotNets

Parasites de zombiification
Brillant Digital
Brillant Digital AltNet

Parasites de calcul distribué
iosdt.exe

Botnets
01.06.2007 La Russie aurait loué des
botnets impliqués dans l'attaque en
déni de service lancée contre l'Estonie

Opération CyberSlam
Tracking BotNets
BotNet on Demand Service
Condamnation de Jeanson James Ancheta
The Zombie Hunters
Qu'avez-vous en commun avec les maffias russes ?
Storm Worm OverNet botnet up for sale

Mots clé :
zombies, botnets
 
 
Définitions :
  • Zombies (Zombi, Zombis, Zombie)
    Un ordinateur « zombi » est un ordinateur

    1. connecté à l'Internet

    2. qui a été compromis par un attaquant (pirate(1), hacker(2)) ayant réussi une intrusion d'un virus(3) ou d'un cheval de Troie (trojan)(4)

    3. qui accomplit des tâches malveillantes, de n'importe quelle nature, à l'insu de son propriétaire (silencieusement) et sous la direction, à distance, de l'attaquant

  • BotNets (BotNet)
    Un BotNet (acronyme de Bot (Robot) et Net (Réseau)) est un réseau de robots, une grappe de Zombies (jusqu'à plusieurs centaines de milliers - 300.000 à 400.000 PCs sous Windows dans une seule grappe !), fonctionnant sous le contrôle d'un même pirate qui peut ainsi exploiter la somme des puissances de calcul et des largeurs de bandes passantes de tous "ses" Zombies. Ces BotNets sont loués à des cybercriminels.

Le prix de la cybercriminalité :

Dans un communiqué de presse de début décembre 2007, G DATA, éditeur de logiciels de sécurité informatique, produit une étude sur l'industrie lucrative du spam. Ce commerce est organisé. L'objectif est de séduire et de recruter un maximum de spammers avec des offres personnalisées, des offres d'essai, des tarifs avantageux... 
  • Un marché organisé
    G DATA a analysé la structure de l'industrie du cyber crime et ses acteurs. Les résultats sont édifiants. On connaissait déjà les attaques DDoS (qui rendent une application informatique incapable de répondre aux requêtes des utilisateurs) ou encore les millions de spams payés à la commission pour une centaine d'euros. Mais maintenant, les cyber-criminels sont organisés en réseaux et proposent une large gamme de « services ».

  • Les « discounter » du spam
    Ralf Benzmüller, le directeur du laboratoire de sécurité de G DATA, précise qu'aujourd'hui les cyber-criminels sont comme des épiciers. Ils proposent un large choix de prestations pour recruter un maximum de cyber-criminels. Vous pouvez acquérir un outil d'envoi d'e-mails et 5 millions d'adresses e-mails pour 140 euros ou encore 20 millions d'adresses emails à spammer pour seulement 350 euros. Certains fournisseurs vont même jusqu'à offrir les 10 premières minutes de leurs prestations pour convaincre leurs acheteurs. Après, il faut débourser en moyenne 20 US$ par heure ou 100 US$ par jour.

  • G DATA s'est aussi penché sur les jeux en ligne. Un compte au jeu WoW (World Of Warcraft) se vend 6 euros alors que les informations liées aux cartes de crédit se vendent en moyenne à 3 euros !

  • Vente de failles et chevaux de Troie
    L'activité la plus lucrative concerne les failles de sécurité et certains chevaux de Troie. En effet, une faille de sécurité peut se vendre 35 000 euros. Et il n'est pas rare d'empocher plusieurs dizaines de milliers d'euros pour un Cheval de Troie. On peut aussi trouver des failles de sécurité dans Windows et Linux pour seulement 500 euros sur le site d'enchères WabiSabiLabi qui se justifie en expliquant que les chercheurs en sécurité se font souvent claquer la porte au nez par les éditeurs de logiciels lorsqu'ils annoncent avoir trouvé une faille dans un de leurs logiciels (ou comment être un WhiteHat tout en en tirant les revenus d'un BlackHat.) WabiSabiLabi prétend ainsi peser sur les éditeurs qui peuvent "racheter" leur faille avant qu'un exploit zero-day ne soit lancé - un papier sur WabiSabiLabi et leur page de mise aux enchères de failles).

    Une faille "Zero-day" dans Vista a été mise en vente 50.000 US$ selon Trend Micro. Le prix moyen de vente d'informations sur de la découverte d'un faille de sécurité non patchée (à exploiter) se situe entre 20.000 US$ et 30.000 US$ selon la popularité du logiciel et la fiabilité du code de l'attaque.

    Un zombiificateur et son cheval de Troie sont couremment vendus 5.000 US$ selon Gene Raimund (Trend Micro).

    Un trojan sur mesure capable de voler des informations sur des comptes en ligne se trouve entre 1.000 et 5.000 US$.

    Un outil de construction d'un BotNet se trouve entre 5.000 US$ et 20.000 US$.

    En décembre 2005, Kaspersky découvre que l'exploit permettant l'attaque WMF (Windows Metafile) était proposé par un groupe de Hacker Russe pour 4.000 US$. Ces ventes d'exploits se faisant des milliers de fois pour chaque exploit, Gene Raimund (directeur des technologies chez Trend Micro) est aller jusqu'à dire que "Le marché du malware fait plus d'argent que le marché des anti-malwares".

  • Numéros de cartes de crédit
    Les numéros de carte de crédit valides avec codes secrets sont vendus pour 500 US$ chacun, tandis que les données de facturation qui incluent un numéro de compte, adresse, numéro de sécurité sociale, adresse du domicile et la date de naissance peuvent être trouvées entre 80 US$ et 300 US$.

  • Location de BotNet
    Le quotidien russe « Vedomosti » publiait le 10 juin 2005 un courrier électronique reçu d'un informaticien louant ses "services de blocage de systèmes d'information", via une attaque DDoS. Il affichait ses tarifs selon le nombre d'heures de blocage espéré et la taille du site à faire tomber : une journée pour un site "normal" = 150 US$, 1000 US$ pour le site du Kremlin durant une semaine, 80 000 US$ pour celui de Microsoft, etc. … Ce gars là est donc "propriétaire" d'un BotNet et a zombiifié quelques milliers à millions de machines.

  • Achat / Vente de BotNet
    Le prix d'achat comptant d'un botnet moyen dans sa totalité s'inscrit dans une fourchette de 5.000 US$ à 7.400 US$, selon (mai 2007). Le SANS Internet Storm Center a reçu un rapport indiquant que les prix d'achat sur les botnets ont baissé récemment, grâce en partie à des groupes de Russie prêts à les vendre pour aussi peu que 25 cents par zombi. (Lenny Zeltser)


On a pénétré ma machine ? Et alors ! Il n'y a rien d'intéressant dedans !
Lors de propositions faites à un utilisateur de durcir sa machine (voir des exemples de kits de sécurité) il est fréquent d'entendre des propos comme "Qu'est-ce qu'un pirate viendrait faire dans ma machine ? Il n'y a rien d'intéressant" etc. ...

Ce type de réponses, très fréquent, surtout chez les utilisateurs débutants sur l'Internet (premier ordinateur) et les personnes âgées, tente de couvrir par anticipation les reproches qu'il pourrait leur être faits plus tard, et tente également d'éluder 2 craintes ou lacunes personnelles
  • Crainte de ne pas savoir utiliser les outils de protection
  • Crainte de subir une restriction de liberté d'usage de sa machine
Qu'est-ce qui est si intéressant dans une machine ?
Il y a les données stockées volontairement par l'utilisateur - admettons qu'elles soient de peu d'intérêt. Elles ne sont pas les seules cibles des pirates.

Il y a également des données non stockées. Par mesure de sécurité "naturelle" prise par l'utilisateur, laxiste au demeurant, qui a tout de même un peu peur, il ne stocke pas (n'écrit pas dans un fichier) des données qui ne feront que passer lors de connexions. C'est oublier que les KeyLoggers et autres Spywares sont là pour les capturer au passage.

Il y a aussi ce qui justifie la zombiification de votre machine. Qu'est-ce qu'apporte un ordinateur à une personne mal intentionnée qui souhaite en prendre le contrôle à distance ? Et bien, tout simplement, les ressources dont il dispose :
  • Une connexion à l'Internet dont vous payez l'abonnement et la bande passante. Depuis votre machine, un criminel pourra
    Le tout anonymement (sans pouvoir être retrouvé ni inquiété). Vous risquez d'être poursuivi par la justice et votre fournisseur d'accès Internet risque de vous couper votre connexion.
  • De la mémoire vive (Ram) que vous avez acheté et qu'il utilise

  • De la puissance de calcul (votre processeur et votre carte mère) que vous avez acheté et qu'il utilise

  • Des surfaces de stockages (vos disques durs) que vous avez acheté et qu'il utilise (généralement pour stocker, hors de chez lui, des données sensibles ou illégales)

Zombis
Les propriétaires d'ordinateurs zombiifiés ignorent que leurs systèmes et leurs ressources (surfaces disques, puissance de calcul, mémoire centrale, bande passante de la liaison Internet...) sont ainsi exploitées, d'une manière crapuleuse, au profit de gangsters du Net qui en tirent un revenu, sur leur dos, sans bourse délier.

Il existe même des gangsters spécialisés dans la zombiification de PCs et leur mise en réseau (botnets). Ils proposent à d'autres gangsters la location de leur « parc de zombies » à la ½ heure ou à l'heure(5) (6) (7). L'utilisation est purement crapuleuse - par exemple :

  • Extorsion de fonds auprès de très gros sites Internet commerciaux qui, s'ils ne paient pas leur "Protection", se voient violemment attaqués en DDoS (Distributed Denial of Service) et "tombent" (il s'agit de l'une des activités bien connues de "protection" offertent par les maffias aux commerçants).

  • Envoi de milliard de spam en quelques minutes

  • Hébergements furtifs et éphémères de pseudo sites financiers pour des opérations d'attaques en phishing.

  • Dissimulation (terrorisme, pédophilie...)

  • Etc. ...

Janvier 2007 :
Selon Vinton Cerf(11), l'un des pères fondateurs d'Internet, le problème des zombies (et des Zombies regroupés en BotNets) botnets serait désormais d'ordre pandémique : un quart de tous les ordinateurs connectés au réseau, soit cent cinquante millions des six cent millions d'ordinateurs connectés à l'Internet, appartiendrait, avant leurs propriétaires légitimes, à des pirates qui en auraient le contrôle total et les mettent en "Réseaux de Robots" (BotNets). Cette déclaration a été faite dans le cadre du Forum Economique Mondial de Davos. Il ne s'agit donc pas d'un simple problème technique de virus et de failles de sécurité, mais d'un problème de macro-économie planétaire.


Novembre 2007 :
Un consultant américain en sécurité informatique encourt une lourde peine de 60 ans de prison. Son manque flagrant d'éthique l'a conduit à devenir le chef d'orchestre d'un réseau de 250 000 PC zombies pour partir en quête d'informations personnelles. John Schiefer, ancien consultant en sécurité informatique, vient de plaider coupable devant un tribunal de Los Angeles de plusieurs chefs d'inculpation retenus à son encontre dont, l'accès à des ordinateurs protégés, l'interception illégale de communications électroniques, transfert frauduleux et fraude bancaire. Il encourt une peine de 60 années de prison et une amende de 1,75 million de dollars pour sa participation avec d'autres pirates dans la construction et l'utilisation d'un botnet. Ce réseau gigantesque d'ordinateurs zombies fonctionnant sous Windows a atteint le nombre conséquent de 250 000 machines.
Vulnérabilité.com


Les attaques en DDoS (Dénie de Service Distribué) proviennent de l'usage de réseaux de zombies. Par exemple, en 2003, SPEWS (qui offrait, sur son site spews.relays.osirusoft.com, des listes de blocage de spammeurs (DNSBL(8)) utilisées par de très nombreux outils anti-spam) a été victime d'une violente attaque en DDoS(9) durant plusieurs semaines, conduite par des spammeurs, dont il n'a pu se relever et qui l'a conduit à fermer définitivement son service le 27 août 2003.

Les attaques en DDoS à partir d'un BotNet permettent de faire "tomber" un serveur et de se faire de l'argent.
  • L'attaquant peut faire tomber un serveur d'une grande entreprise et lui demander de payer pour lever l'attaque (on est dans le même shéma maffieux que les "protections" accordées aux commerçants s'ils payent la maffia pour que celle-ci ne démolisse pas leur commerce).
  • Le propriétaire d'un BotNet peut "louer" son BotNet. Voir les tarifs proposés !

Ce sont les systèmes sous Microsoft Windows qui constituent l'écrasante majorité des PCs zombiifiés. Certains éditeurs d'antivirus parlent de 30% du parc mondial de PCs ainsi sous le contrôle de maffieux.

La transformation des PCs en zombies serveur de messagerie, par l'implantation d'un logiciel furtif de type « serveur SMTP » est la principale méthode d'envoi de Spam(10). Cette méthode autorise la diffusion fulgurante de spams et de virus (plusieurs millions d'ordinateurs attaqués ou de spam envoyés en quelques minutes) rendant les temps de mises à jours des bases de signatures des antivirus et des antispam périmées d'avance.

Les zombies permettent également aux gangsters du Net de ne pas être tracés et démasqués car il devient impossible de remonter aux origines d'une attaque (spam ou virus).

On estime ainsi que 80% à 90% du spam mondial est diffusé grâce à la création et l'utilisation de réseaux cachés de zombies.

Un réseau de zombies offre à ses utilisateurs, gratuitement, une largeur de bande passante phénoménale.

Comment fonctionne un réseau de type BotNet : en bleu les machines saines (non compromises par un serveur SMTP parasite), en rouge les machines zombiifiées. Le "cercle de connaissances" est le carnet d'adresses e-mail contenu dans chaque machine. Si votre machine est compromise par un serveur SMTP parasite (un serveur de messagerie), elle est transformée en Zombi. 100% de vos connaissances sont attaquées en spam et 80% de vos connaissances (vos amis, votre famille etc. ...), car 80% des machines ne sont pas protégées, sont, en sus, transformés en zombies (par votre faute car vous n'avez pas protégé votre machine).




Ressources

Le dossier du Spam
http://assiste.com/p/carnets_de_voyage/spam.html

(1) Pirates
http://assiste.com/p/abc/a/pirates.php

(2) Hackers
http://assiste.com/p/abc/a/hacker.php

(3) Virus
http://assiste.com/p/abc/a/virus_definition.php

(4) Cheval de Troie
http://assiste.com/p/abc/a/trojan.php

(5) Scotland Yard and the case of the rent-a-zombies
http://news.zdnet.com/2100-1009_22-5260154.html

(6) Recherche Google en anglais : "rent zombies computers"
http://www.google.fr/search?num=100&hl=fr&q=rent+zombies+computers&btnG=Rechercher&meta=

(7) Recherche Google en français : "pc zombies à louer"
http://www.google.fr/search?num=100&hl=fr&q=pc+zombies+%C3%A0+louer&btnG=Rechercher&meta=lr%3Dlang_fr

(8) DNSBL
DNS-based Blackhole List

(9) DDoS
http://assiste.com/p/abc/a/ddos_distributed_denial_of_service.html

(10) Slaying Spam-Spewing Zombie PCs
http://www.pcworld.com/news/article/0,aid,121381,00.asp

(11) Vinton Cerf
http://fr.wikipedia.org/wiki/Vinton_G._Cerf




Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
23.07.05
17.07.06
29.01.07
26.11.07
29.12.07
 
   
Rédigé en écoutant :
Music