Botnets

Botconf – Première conférence sur la lutte contre les botnets – Bilan

Botconf-Poster-WebQuelques mois déjà que je n’ai pas publié sur ce blog, plein de boulot comme beaucoup, mais surtout un événement important à organiser: la première conférence sur la lutte contre les botnets, Botconf. Nous étions ainsi plus de 160 personnes du monde entier rassemblés les 5 et 6 décembre derniers à Nantes (Loire-Atlantique, France).

Les origines

Depuis un peu plus de deux ans je suis engagé dans une thèse de doctorat sur la lutte contre les botnets. Pendant ces travaux je suis amené à rencontrer et échanger avec des spécialistes de toutes origines (chercheurs du monde académique et industriel, mais aussi des chercheurs indépendants et évidemment des spécialistes d’autres services officiels en France et à l’étranger), lire des papiers scientifiques, des articles de blog et assister à des conférences. Une confirmation d’abord: les botnets préoccupent aujourd’hui beaucoup d’acteurs, de nombreuses réflexions, expérimentations et actions sont menées pour lutter conte eux.

Note pour les lecteurs moins assidus de mon blog: les botnets sont des réseaux constitués par des ordinateurs sous le contrôle d’un virus informatique – une fois infectés par ce virus ils se connectent à un système de commande et de contrôle (souvent un site Web, mais ça peut être aussi un système de communication pair à pair ou encore en abusant d’un réseau social tel que twitter comme canal de communication). L’utilisation de ces réseaux de machines est varié: diffusion de spams ou encore d’autres virus, collecte d’informations confidentielles sur les ordinateurs infectés, conduite d’attaques en déni de service coordonnées, etc. Il s’agit de l’infrastructure cybercriminelle la plus utilisée aujourd’hui sur Internet.

Mais pour ce qui est des conférences ouvertes sur la sécurité, beaucoup traitent d’aspects intéressants et en rapport avec les botnets, mais les sujets sont parfois isolés et dans la salle peu sont les participants qui en général travaillent spécifiquement sur cette question – même si elle touche beaucoup d’univers de la sécurité numérique – et donc il y a rarement de vrais débats ou retours. Il existe évidemment des conférences qui touchent aux virus informatiques (on peut citer ECIW 2012 qui était organisé chez nos amis de l’ESIEA à Laval, la conférence de Virus Bulletin qui aura lieu du 24 au 26 septembre 2014 à Seattle ou encore Malcon). Il existe des conférences plus confidentielles où ces questions sont évoquées (à Interpol et Europol évidemment ou encore le Digital crimes consortium organisé chaque année par Microsoft). Il m’a donc semblé, avec un groupe de participants actifs de la communauté Botnets.fr qu’il y avait de la place pour une conférence ouverte traitant spécifiquement de la lutte contre les botnets.

L’organisation

C’est un travail d’équipe avant tout. Ainsi, même si tous n’ont pas pu venir à Nantes, nous avons été une bonne dizaine à participer activement de près ou de loin au succès de cette conférence. Je vais citer leurs pseudonymes sur twitter et par ordre alphabétique: @ackrst@fabien_duchene@FredLB@g4l4drim, @gcouprie@Jipe_@penpyt@_Reza__@r00tbsd@sanguinarius_Bt@Sebdraven, @udgover ainsi que @vloquet pour les relations presse. Plus généralement, c’est la communauté Botnets.fr dans son entier qui s’est beaucoup mobilisée pour nous soutenir – au moins moralement – et bien entendu des sponsors qui nous ont progressivement rejoints pour permettre à l’événement de se réaliser.

En pratique, nous avons déposé les statuts d’une association dès le mois de novembre 2012 pour offrir un cadre juridique clair à l’organisation, monté une évaluation du budget et commencé à rechercher les meilleurs endroits pour organiser cette conférence. Une partie de l’équipe étant basée à Nantes, c’est dans cette ville que nous avons choisi de commencer l’aventure. La Chambre de commerce et d’industrie de Nantes dispose de locaux très adaptés à ce type d’événements, à des coûts particulièrement raisonnables et nous nous sommes donc tournés vers eux (et l’accueil sur place fut excellent). Le comité scientifique a été construit en même temps pour garantir une construction du programme incontestable, je tiens à tous les remercier: Hendrik Adrian (Japon), José Araujo (France), Domagoj Babic (USA), Gilles Berger-Sabbatel (France), Guillaume Bonfante (France), Nicolas Brulez (France), Alexandre Dulaunoy (Luxembourg), Barry Irwin (Afrique du Sud), Denis Laskov (Israël), Corrado Leita (France), Jean-Yves Marion (France), David Naccache (France), Fred Raynal (France).

botconf-header-logo-300x97

Bien entendu, nous avons créé un site Web (sous WordPress pour cette année) et lancé l’appel à papiers : la gestion de la soumission des papiers s’est faite sur Easychair, qui s’est révélé très efficace (et c’est gratuit). Beaucoup de détails ensuite, mais qui ont toute l’importance: conception graphique, impression d’affiches et des t shirts, kakémonos, trouver des restaurants, un traiteur et des chambres d’hôtel pour les conférenciers… Une partie importante du calage du budget portait évidemment sur les frais d’inscription: nous avions prévu un tarif réduit pour les étudiants (que nous avons aussi proposé aux personnes sans emploi) et aux services de police. La gestion de la vente des tickets elle-même s’est fait avec un module additionnel de WordPress (WP Event Ticketing) et les tickets eux-mêmes ont été envoyés par courrier électronique aux participants pour impression, une fois pliés en 4 ils formaient un badge lisible inséré dans une pochette A6.

Le déroulement

BotConf13-30Le déroulement de la conférence fut sans encombre: messages préalables aux conférenciers et participants pour les informer sur la façon d’accéder à Nantes par avion, par train et jusqu’à la salle de la conférence, dîner avec les conférenciers le 4 décembre au soir, l’accueil et la validation des badges au moment de l’arrivée (juste trois cas particuliers à régler sur 168… ouf !) puis respecter le timing tout au long du programme des exposés, gérer les pauses et le repas convivial qui nous attendait dans un restaurant installé sur la Loire, puis faire repartir en sécurité tous nos participants ! Pendant une grosse partie de la conférence, les présentations étaient diffusées en direct par webcast.

Le bilan

Le programme de la conférence était équilibré, vous pouvez le consulter ici avec les présentations et d’ici quelques jours avec les vidéos des conférences. Ainsi, étaient couverts des sujets sur le fonctionnement des botnets, leur détection dans les réseaux, la mitigation et les méthodes de lutte (techniques, mais aussi plus opérationnelles, y compris au travers d’une présentation d’Europol).

Plusieurs blogs ont déjà fait le bilan de la conférence:

et une petite recherche sur twitter vous ramènera quelques retours très sympathiques.

Et après ?

Le succès de la conférence et les nombreux retours positifs nous poussent à renouveler l’aventure en 2014. Après avoir fait le bilan au travers d’un questionnaire de satisfaction diffusé ce week-end aux participants, nous entamerons les travaux de préparation de Botconf 2014. Je peux d’ores et déjà vous annoncer qu’elle devrait se dérouler à Nancy, avec le soutien de l’équipe du Laboratoire de haute sécurité du LORIA, la première semaine de décembre 2014 et que la première étape sera l’ouverture de l’appel à papiers et propositions de conférences dès le début de l’année. Cette année, nous souhaitons voir plus de présentations dans des domaines connexes mais importants dans le champ de la lutte contre les botnets: le droit, l’étude des groupes criminels qui gèrent ces botnets (comment ils se rencontrent, se coordonnent, qui les composent). Merci encore aux participants, aux conférenciers, à nos sponsors et à la super équipe d’organisation ! Si vous souhaitez en suivre l’actualité, connectez-vous à @Botconf et rendez-vous l’année prochaine!

Les rançongiciels sont toujours très actifs

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Au mois de décembre, nous faisions état du lancement de plusieurs campagnes de diffusions de virus se faisant passer pour des services de police dans toute l’Europe et au-delà, en France l’image de la gendarmerie étant particulièrement utilisée à cette fin. Une réunion de coordination s’est tenue au siège d’Europol à la Haye le 25 avril 2012.

Le développement de ces campagnes est évidemment très suivi par les services de police et des investigations sont en cours. Les chercheurs en sécurité et les sociétés spécialisées en sécurité publient de nombreuses analyses sur le comportement des virus impliqués, des infrastructures qui servent à les diffuser et des groupes qui semblent être derrière ces pratiques. La figure ci-dessous donne un résumé des variantes qui sont aujourd’hui observées – elles sont documentées aussi sur le wiki Botnets.fr dans la rubrique Police lock:

Variantes des rançongiciels policiers

Fonctionnement

Le principe rencontré est souvent très similaire:

  • La victime est attirée par différents moyens vers des plateformes d’attaques (exploit kits):
    • Affichage d’une bannière publicitaire sur un site Web légitime (sites à fort trafic, souvent des sites Web de streaming pornographique)
    • Affichage d’une page Web légitime dont le contenu a été modifié illégalement (des scripts malveillants ont été installés sur le serveur à l’insu de leurs propriétaires)
  • Selon la configuration de l’ordinateur de la victime, différents scripts lui sont présentés pour exploiter des vulnérabilités connues (notamment dans des extensions comme Flash ou Java) et un virus est téléchargé et installé.
  • Le virus affiche une page Web distante bloquant tout usage de l’ordinateur et réclamant le paiement d’une amende. Le contenu de la page est différent en fonction de l’adresse IP d’où la personne se connecte, pour s’adapter à son pays de résidence – en tous cas le pays d’où l’on se connecte.
  • Le paiement de cette rançon (il ne s’agit évidemment pas d’une amende légale) utilise des tickets de paiement électronique que l’on achète en général en France dans les bureaux de tabac (Ukash ou Paysafecard) et qui sont habituellement utilisés par les français sur des plateformes de jeux en ligne.
  • Le paiement de la rançon ne débloque évidemment pas l’ordinateur.
  • Certaines versions chiffrent des fichiers personnels et rendent le système encore plus difficilement utilisable.
  • Ils fonctionnent avec tous les principes des botnets : logiciel malveillant sur la machine de la victime, système de commande et de contrôle avec panneau de commande, réception d’ordres à exécuter (parfois même mises à jour et téléchargement d’autres virus), envoi d’informations vers le système de commande (les codes PIN des systèmes de paiement électronique).

Versions plus récentes

Les nouvelles versions continuent de se développer, notamment par leurs visuels, mais aussi par les infrastructures utilisées et donc vraisemblablement les équipes qui sont derrière:

Une nouvelle version du virus exploitant l’image de la gendarmerie française

Dans une autre variante, c’est l’image de la SACEM et de la police nationale française qui sont exploitées

Une autre version (repérée par Malekal.com) utilisant divers logos dont ceux de l’ANSSI et de l’OCLCTIC.

Que faire ?

Les points clés de l’action pour l’utilisateur final sont les suivants (on peut aussi consulter le document de prévention proposé par Europol):

  • Se tenir informé, et informer ses collègues et ses amis. L’information est cruciale pour prévenir les différentes formes d’escroquerie.
  • Tenir à jour son ordinateur (système d’exploitation, mais aussi tous les logiciels et les extensions que l’on utilise)
  • Ne jamais payer ce genre de rançons, elles ne débloquent pas la situation. Et on le rappelle: les services de police ne réclament pas le paiement d’amendes en bloquant les ordinateurs.
  • Si on est contaminé chez soi, ne pas hésiter à chercher de l’aide auprès d’amis, de forums d’entraide (comme forum.malekal.com) et auprès des sociétés spécialisées dans la lutte contre les virus.
  • Si on est contaminé au travail, il est important d’en parler à son responsable informatique ou son correspondant en sécurité des systèmes d’information. Ils doivent être au courant de ce type d’incidents et pourront vous aider à rétablir un équipement en fonctionnement normal sans perdre vos données.

Quelques liens vers des outils gratuits de décontamination (non exhaustive, pardon d’avance si j’en oublie) :

La citadelle du crime

L’évolution du botnet Citadel est suivie depuis plusieurs mois par différents chercheurs. Il montre une tendance intéressante (si l’on peut dire) dans la pratique des groupes criminels numériques: une véritable gestion de la clientèle et l’utilisation des modèles modernes de développement d’applications en source ouverte. Cet exemple montre des développements importants dans le domaine du CaaS – crime as a service, ou le crime vendu comme un service.

Historique

En mai 2011, le code source du malware Zeus est révélé. Dans la foulée, des variantes sont développées dont IceIX et aujourd’hui Citadel.

Panneau de commande du botnet Citadel v.1.2.4 (source: Seculert)

Les services offerts par la citadelle

Une fois la licence de Citadel acquise (le prix public serait de $2.399 plus un abonnement de $125 mensuels), le ‘client’ est invité à rejoindre la communauté en ligne des acheteurs de Citadel: le “Citadel Store” (voir l’article de Brian Krebs). Ils ont ainsi accès :

  • à la possibilité de voter pour de nouvelles fonctionnalités et en discuter le détail ;
  • la progression des développements (dates de sortie des nouveaux modules) ;
  • au signalement des bugs au travers d’un classique système de gestion de tickets ;
  • à une documentation complète pour l’utilisateur, des notes de version et un document de licence (sic !).

Vous pouvez lire sur le Wiki Botnets une traduction en anglais (par @sherb1n) d’un message publicitaire du groupe qui anime Citadel sur un forum destiné à des acheteurs potentiels.

Très clairement, il s’agit de fidéliser la clientèle et donc de développer ses revenus (ils demandent même des avances aux clients qui souhaitent voir un développement particulier arriver plus rapidement), mais aussi de profiter des informations que les clients obtiennent pour améliorer le produit et le rendre plus efficace. Ils vont ainsi beaucoup plus loin que les contacts via ICQ ou Jabber classiquement utilisés par les développeurs de logiciels malveillants (voir l’article de Brian Krebs).

Le groupe qui se cache derrière le Citadel Store se comporte comme n’importe quelle entreprise. Ainsi, ils ont des horaires de bureau (de 10h00 à 00h30 tout de même, donc très geeks) et se reposent le week-end. Au mois de mars 2011, Seculert rapportait déjà (voir leur blog) l’importance des services de type commercial développé par les criminels dans le domaine des plateformes d’exploits (il s’agit de plateformes telles Blackhole ou Incognito qui regroupent en un seul outil intégré un ensemble d’outils permettant de contaminer une grande variété de machines victimes visitant par exemple un site Web).

J’avais déjà eu l’occasion de souligner le développement des groupes criminels comme de véritables entreprises:

Les fonctionnalités offertes par Citadel

Selon Seculert (voir sur leur blog), une nouvelle version de Citadel est publiée chaque semaine, soit un rythme beaucoup plus soutenu que ce qu’on a pu remarquer pour Zeus ou SpyEye.

A ce jour, le botnet Citadel offrirait les fonctionnalités suivantes (voir notamment l’article de Seculert):

  • toutes les fonctionnalités connues de Zeus, mais avec des améliorations comme la collecte d’identifiants de connexion sur le navigateur Chrome de Google ;
  • chiffrement RC4 et AES pour les communications ;
  • contre-mesures pour les plateformes de suivi des serveurs de commande des botnets (tel Zeus Tracker), grâce à l’utilisation de clés qui seules permettent de télécharger des mises à jour ou des fichiers de configuration ;
  • blocage de l’accès par les machines infectées aux serveurs de mise à jour des anti-virus ;
  • enregistrement de vidéos (au format MKV) de l’activité de l’utilisateur visitant un site Web particulier ou utilisant une application (il s’agit d’une option du botnet) ;
  • la mise à jour via le protocole Jabber de l’ensemble des bots pour éviter la détection par les antivirus (cette option serait facturée $395 et chaque mise à jour $15) ;
  • plus classique, il est possible d’empêcher le bot de fonctionner sur les machines dont le clavier est configuré pour le russe ou l’ukrainien.

Interface de création du bot - logiciel malveillant (Source: Brian Krebs)

Pour prolonger…

Cet article est l’occasion d’attirer l’attention sur un projet lancé voici quelques semaines: https://www.botnets.fr/ un Wiki sur les botnets que j’anime dans le cadre de la thèse que j’ai commencée sur le sujet de la lutte contre les botnets. Si vous voulez participer à ce Wiki n’hésitez pas à nous rejoindre sur IRC chat.freenode.net .fr et à vous inscrire sur le Wiki.

Koobface, un écosystème cybercriminel ou le conte des Mille et une nuits ?

Dancho Danchev revient dans son blog chez ZDNet sur le ver “Koobface”. Je vous propose un résumé de son article et quelques pointeurs.

Description de Koobface

Koobface est un ver qui utilise comme mode de propagation la messagerie du réseau social Facebook, mais aussi – selon les variantes – Twitter, hi5, Myspace, Bebo et Friendster. Les victimes sont redirigées vers un site où une mise à jour d’Adobe Flash leur est proposée qui est en fait un logiciel malveillant. (Pour plus d’informations voir l’article de Wikipédia en anglais, l’étude de Trend Micro publiée en Juillet 2009, ou cet article très détaillé sur abuse.ch de décembre 2009).

Dix informations intéressantes sur Koobface

Dancho Danchev nous explique que le botnet créé par Koobface n’est que le sommet de l’iceberg des activités menées par le groupe criminel qui gère Koobface au travers de dix informations intéressantes qu’il a pu collecter sur leur activité au cours des derniers mois.

On y découvre

On note en lisant son article qu’une véritable guerre est menée entre Dancho Danchev et ce groupe, dont le blog a été l’objet d’attaques ciblées en déni de service distribué. Selon Danchev, il s’agit ici encore d’un groupe criminel d’origine Ukrainienne (j’avais évoqué l’entreprise aux activités louches qu’a mis au jour récemment François Paget lors du panorama sur la cybercriminalité du Clusif), qui se présente sous le sobriquet d’Ali Baba.

La suite des aventures, très sûrement dans les mois à venir, sur le blog de Dancho Danchev.

26C3 – Conférence du CCC à Berlin (3)

Troisième jour de cette conférence et la sélection que je vous en propose.

Mardi

Using OpenBSC for fuzzing of GSM handsets

Des images utilisées pour commander des botnets

monkif-secureworksIl y a quelques jours, j’évoquais l’utilisation des groupes de discussion de Google pour diffuser les commandes d’un botnet. Les chercheurs de SecureWorks (CTU Counter Threat Unit) ont ainsi mis au jour un nouveau mode de distribution de ces ordres : l’utilisation d’images diffusées par des serveurs Web. C’est en observant le fonctionnement du botnet DIKhora/Monkif qu’ils ont pu faire ces observations. Il s’agit d’un cheval de Troie apparu apparemment assez récemment (08/2009) et encore peu documenté.

Cette méthode est particulièrement astucieuse, dans la mesure où elle sera le plus souvent indétectable pour les outils de filtrage des entreprises. En effet, quoi de plus banal sur un réseau que la visualisation d’images via une connexion HTTP. Ce type de canal caché n’est pas complétement nouveau dans sa conception, au sens où des images mouchards sont souvent utilisées pour permettre le décompte de visites sur des sites Web.

Mais ici, le procédé est encore plus astucieux : l’image téléchargée présente non seulement un nom de fichier caractéristique d’un JPEG, avec une extension en “.jpg”, mais possède un en-tête  identique à ces images. L’en-tête d’un fichier est constitué – le plus souvent – par les premiers octets d’un fichier et constituent une sorte de signature  qui va indiquer au système d’exploitation ou au logiciel d’affichage à quel type de fichier il a affaire, et parfois quelle version du format de fichier est utilisée.

La technique (décrite aussi ici) est la juxtaposition de 32 octets typiques du début d’un fichier JPEG, suivis d’une commande pour les machines zombies embrouillées par un codage spécial (un XOR avec la valeur 4). Dans l’exemple cité, les concepteurs n’ont même pas pris la peine de rendre le fichier affichable. Mais sachant qu’une image JPEG peut contenir des commentaires (par exemple en utilisant le codage EXIF qui permet d’ajouter à une image des informations collectées pendant la prise de vue telle que la position GPS ou la marque de l’appareil photo), il est parfaitement imaginable de camoufler ces commandes de façon beaucoup plus difficile à détecter.

A suivre donc, et cela milite peut-être pour une évolution des pare-feux installés sur les réseaux des entreprises.

Un standard IETF pour la lutte contre les bots chez les FAI

ietflogotrans

Comme pour faire suite à l’article que j’ai publié hier, une information tombe à propos sur le site de SANS : l’IETF (Internet engineering task force), l’organisme qui anime la rédaction des standards de l’Internet, travaille depuis le mois de juillet 2009 sur un projet de standard de recommandations à destination des fournisseurs d’accès pour lutter contre la propagation de réseaux de machines zombies parmi leurs abonnés.

Un élément de plus à rajouter sur ce débat pour un rôle actif des FAI dans la lutte contre ces phénomènes criminels.

Australie: plan de lutte des FAI contre les logiciels malicieux

L’association des fournisseurs d’accès Australiens a publié le 11 septembre un projet de code de conduite pour faciliter la lutte contre la diffusion des logiciels malveillants chez leurs abonnés.

Il s’agit ici de lutter contre toutes les formes de malveillances qui sont facilitées par les centaines de milliers de machines zombies que constituent les ordinateurs des abonnés à Internet qui ont été infectés par des chevaux de Troie. Ainsi, le client détecté comme participant à de telles activités, par exemple parce qu’il diffuse de très nombreux pourriels, serait alerté par son fournisseur d’accès et sensibilisé sur des mesures de sécurité adaptées.

Les autres mesures proposées, au-delà de l’information de l’abonné, sont la limitation de l’accès, le placement de la connexion de l’abonné dans un environnement qui lui donne des indications sur les mesures de sécurité à appliquer, la coupure temporaire de l’accès à certains ports ou protocoles de l’Internet. Il s’agirait aussi pour les fournisseurs d’accès d’informer les autorités lorsque des incidents particulièrement graves sont détectés qui pourraient nuire au fonctionnement des infrastructures d’importance vitale.

Cette proposition, qui semble présentée de façon assez volontariste par les différents partenaires publics et privés concernés est assez intéressante et semble recevoir le soutien de certains spécialistes en sécurité de l’Internet. D’ailleurs, au-delà de l’assistance aux internautes concernés et des qualités éventuellement préventives de ces mesures vis-à-vis des autres internautes, ce dispositif offrirait aux fournisseurs d’accès Australiens un moyen, reconnu par le gouvernement, de diminuer l’impact des infections de leurs clients sur leurs infrastructures, par exemple offrir un service de meilleure qualité à leurs abonnés (bande passante, accès au serveur d’envoi de courrier électronique, etc.).

L’exemple Australien pourrait-il être reproduit ailleurs et en France notamment ? Il revient évidemment aux différents partenaires d’en discuter. Les débats actuels sur la neutralité du réseau et la coupure de l’accès Internet dans le cadre de la loi dite “HADOPI” donnent un éclairage particulier à cette proposition. Ainsi, quelles précautions faudrait-il prendre pour que l’internaute ne soit pas abusivement lésé par ces mesures ? Dans quel délai l’internaute pourra-t-il obtenir le rétablissement complet de ses services ? Ne peut-on automatiser la détection du rétablissement d’une situation normale sur la connexion de l’abonné ?

Ce chantier mérite en tous cas d’être discuté, dans un univers où l’essentiel des activités illicites sur Internet sont ou peuvent être facilitées par les botnets et autres formes d’action des logiciels malveillants. Corollairement, les spécialistes se posent souvent la question de savoir s’il est légitime ou souhaitable pour une personne officielle (un service d’enquête, agissant éventuellement sous le contrôle d’un magistrat) qui aurait pris le contrôle d’un serveur de commande de botnet de commander à l’ensemble des machines victimes de désactiver le logiciel malveillant ou afficher un message d’alerte officiel sur l’écran de la victime. Ces mesures, peut-être impressionnantes, seraient très certainement efficaces, mais comment les encadrer ? Quelles mesures de communication devront les accompagner ?

En conclusion, il est grand temps d’envisager et de discuter sérieusement des solutions industrielles et de grande ampleur face au phénomène des logiciels malveillants qui a pris lui-même une dimension industrielle.

Un mode original de centre de commande : Google groups

groups_logoLes botnets, ces réseaux chevaux de Troie installés sur les ordinateurs de tout un chacun pour organiser des attaques coordonnées, ont besoin d’un mécanisme pour en permettre le contrôle par leur maître. Ainsi, des canaux de discussion IRC, des sites Web ou des réseaux Pair à Pair sont utilisés pour transmettre les commandes de façon quasi instantanée à l’ensemble des machines “zombie” connectées à un botnet particulier.

Des chercheurs de Symantec décrivent dans un article publié le 11 septembre 2009 un mode de commande original: l’utilisation d’un groupe de discussion hébergé chez Google.

Dans l’exemple cité, il s’agit d’une connexion sur un groupe privé “escape2sun”, où le maître du botnet publie ses commandes. Ce mode de diffusion des commandes a permis aux auteurs de l’étude de faire un examen approfondi des commandes publiées. L’analyse du cheval de Troie a permis aux auteurs de l’article de déchiffrer les commandes et les réponses des bots.

Dans ce cas précis, il semble qu’il ne s’agisse que d’un essai ou d’un prototype étant donné le faible nombre de machines zombies repérées (de l’ordre de 3000) et les commandes de débogage retrouvées. En tous cas, nous avons ici un nouveau mode de canal caché de contrôle de botnets à ajouter à la liste !

Attaque DDoS Twitter (suite)

En complément à mon billet d’hier sur l’attaque contre Twitter de la semaine passée, Arbor Networks en ferait une analyse intéressante tendant à indiquer qu’il ne s’agit effectivement que d’un événement de faible amplitude et qu’au même moment des attaques beaucoup plus importantes avaient lieu (contre un opérateur asiatique par exemple).

(Plus d’informations ici)

Cela confirmerait les inquiétudes sur la résistance de telles plateformes à des attaques de grande ampleur.