Ce que Microsoft a appris en matière de lutte contre les botnets, exposé par l'un de ses chercheurs

[Djug]

Mise à jour du 20.03.2010 par Katleen

Ce que Microsoft a appris en matière de lutte contre les botnets, exposé par l'un de ses chercheurs

"Voici publiées les premières leçons que nous et d'autres chercheurs avons tirées de l'impact de l'opération b49."

Microsoft semble avoir beaucoup appris de son action de neutralisation du botnet Waledac (même si celui-ci a depuis repris du service).

Les unités spécialisées de la Digital Crimes Units ont d'abord du attaquer le botnet par couches. Ceci, via des perturbations de communications P2P et des désactivations de noms de domaine pour empêcher les échanges entre les ordinateurs zombies et les serveurs de commande et de contrôle du botnet. Ont aussi été utilisées les traditionnelles désactivations de serveurs.

Ces actions ont été efficaces puisque des dizaines de milliers d'ordinateurs infectés ont été nettoyés, et que la facilité de propagation du botnet sur d'autres machines a été réduite.

Mais, ce que Microsoft a appris, c'est que rompre le lien bots / maître ne suffit pas. Une fois libérés, les ordinateurs autrefois zombies restent infectés, souvent même par d'autres malwares sans aucun lien avec cette affaire.

Microsoft a donc promptement invité les internautes à faire usage de son outil gratuit de suppression de programmes malicieux : Malicious Software Removal Tool.

Enfin, l'éditeur conclu que même s'il n'est actuellement pas possible de supprimer toutes les menaces en ligne d'un coup, une telle opération comme celle menée contre Waledac est riche d'enseignements et aide à mieux appréhender les prochaines du même genre.

Source : Message posté sur le blog du Microsoft Malware Protection Center (MMPC)

Mise à jour du 12/03/10

Peut-on vraiment lutter contre les botnets ?
Le plus grand réseau de malwares démantelé recommence à sévir en 48 heures


La victoire de Microsoft contre le réseau Waldec pourrait n'être qu'une goutte d'eau dans l'océan (lire ci-avant).

Certes, le dépôt d'une plainte avait effectivement permis d'utiliser des moyens légaux - une nouveauté à grande échelle - pour déconnecter un centre de commande du botnet Zeus et mettre hors service 277 noms de domaine lié à ce réseaux malveillant.

Mais l'activité de Zeus ne s'en est trouvé que partiellement affectée.

Et les victoires semblent de plus en plus temporaires.

Une deuxième opération visait un fournisseur d'accès et de services webs, Troyak.org, dont le FBI et les experts en sécurité se félicitaient, dès le début de la semaine, de la fermeture.

Troyac propageait en effet volontairement ce même botnet Zeus.
Sa mise hors service par ses deux providers - l'ukrainien Ihome et le russe Oversun Mercury - aurait ainsi permis la neutralisation de 25 % des ordinateurs infectés, selon Cisco Systems.

Une belle victoire pensait-on.

A peine deux jours plus tard, Troyak.org a déjà recommencé ses activités. D'après des experts en sécurité qui suivent l'affaire de près, 68 serveurs de "commande et contrôle" de Zeus se seraient remis à fonctionner suite à ce retour.

Troyak.org est un FAI enregistrée par Roman Starchenko Fedorovitch. Ses serveurs son également connus pour être à l'origine de nombreux spams. Il lui aura donc fallu moins de 48 heures pour passer un accord avec un nouveau provider, nommé Ya, et reprendre ses activités.

Interrogé par la presse, Roman Starchenko Fedorovitch prétend que ce black-out d'à peine deux jours était lié à une mauvaise manipulation d'administration réseau. Mais qu'aujourd'hui "ne vous en faîtes pas, tout est rentré dans l'ordre et fonctionne parfaitement".

Une version immédiatement contredite par les experts à l'origine de la demande de déconnexion - experts dont au passage l'anonymat doit être protégé. Ils affirment que c'est bien une action conjointe avec ses anciens providers qui avait mis Troyak hors service.

Autre fait étrange, dans les deux jours qui ont précédés cette action coordonnée, l'activité de Zeus semble avoir connu un pic inhabituel. Cette activité anormale laisse penser que les cyber-criminels ont volontairement et massivement diffusé le botnet pour construire de nouveaux réseaux d'ordinateurs zombies qui ne seraient pas affectée par la déconnexion de Troyac.

Et donc qu'ils ont été prévenus.

Le FBI en vient à parler de "jeu du chat et de la souris".

Ce Zeus fait décidément de plus en plus penser à Sisyphe.


Et vous ?

D'après vous, les experts arriveront-ils un jour à venir à bout de Zeus (et des réseaux de botnets ce type) hors service ?

Quelle(s) solution(s) (politiques, juridiques, techniques) proposeriez-vous si vous étiez en charge de ce problème ?


MAJ de Gordon Fowler




Microsoft annonce le démantèlement du réseau botnet Waledac responsable de la diffusion de plus de 1,5 milliard de spams par jour


Microsoft viens d’annoncer sur son blog officiel la réussite de son opération de démantèlement du réseau botnet Waledac.


cliquez sur l'image pour l'agrandir


Cette opération baptisée b49 et qui a duré 3 jours a permis de déconnecter le centre de commande du botnet et l’arrêt de 277 noms de domaine (après avoir déposé une plainte) soupçonnés d’être derrière ce réseau mondial de machines zombies.

Le réseau botnet Waledac est constitué de milliers de machines infectées à travers le monde, permet d’envoyer environ 1,5 milliard de spams par jour, et représente l’un des plus grands réseaux botnet aux Etats-Unis.

Microsoft a annoncé que cette opération n'a pas nettoyé les ordinateurs infectés, et recommande de suivre ces conseils sur la sécurité et de télécharger son outil «Malicious Software Removal Tool » pour nettoyer les machines susceptibles d’être infectées.

Source : le blog officiel de Microsoft

Qu’en pensez-vous ?

Voir aussi :

Comment se protéger des botnets ? Pourra-t-on un jour éradiquer cette menace ?
La rubrique sécurité

[spidermario]

Je remercie Microsoft pour cette initiative

[deadalnix]

Citation:

Envoyé par spidermario

Je remercie Microsoft pour cette initiative

Je dois dire qu'il y a gros progrès depuis vista/7 à ce niveau, mais XP et avant, c'est juste inutilisable autrement qu'en admin.

[dvdbly]

C'est plus qu'une excellente nouvelle ! Merci pour cette actualité.

[kaymak]

gg Microsoft. Merci de l'investissement et du soutien fournit à la justice pour régler ce problème qui ne saurait être corrigé par la seule puissance publique.

[razmo]

L'outil ne s'installe pas sur seven dommage pour un produit Microsoft ...

Problème de compatibilité 64 / 32

[smyley]

Le "Malicious Software Removal Tool" est inclus dans un téléchargement mensuel via Windows Update.

Applique simplement toutes les mises à jour proposées par ce dernier.

[kimz]

Bonjour,

Citation:

Envoyé par razmo

l'outil ne s'installe pas sur seven dommage pour un produit crosoft ...

pb de compatibilite 64 / 32

La version 32 bits est disponible ici : http://www.microsoft.com/downloads/d...displaylang=en

La version x64 est ici : http://www.microsoft.com/downloads/d...displaylang=en

++

[Louis Griffont]

Citation:

Envoyé par deadalnix

Ils ne font que nettoyer leur conneries . . .

Je dois dire qu'il y a gros progrès depuis vista/7 à ce niveau, mais XP et avant, c'est juste inutilisable autrement qu'en admin.

[Zaptor]

Citation:

Envoyé par dvdbly

C'est plus qu'une excellente nouvelle ! Merci pour cette actualité.

Il est grand temps... Merci Crosoft pour une fois

[deadalnix]

Citation:

Envoyé par Louis Griffont

Pour qu'un botnet puisse se développer, il faut plein d'utilisateurs qui l'installent chez eux.

Ou plein d'utilisateurs utilisant leur ordinateurs avec les droits admins et un faille de sécurité.

[Gordon Fowler]

Peut-on vraiment lutter contre les botnets ?
Le plus grand réseau de malwares démantelé recommence à sévir en 48 heures


La victoire de Microsoft contre le réseau Waldec pourrait n'être qu'une goutte d'eau dans l'océan (lire ci-avant).

Certes, le dépôt d'une plainte avait effectivement permis d'utiliser des moyens légaux - une nouveauté à grande échelle - pour déconnecter un centre de commande du botnet Zeus et mettre hors service 277 noms de domaine lié à ce réseaux malveillant.

Mais l'activité de Zeus ne s'en est trouvé que partiellement affectée.

Et les victoires semblent de plus en plus temporaires.

Une deuxième opération visait un fournisseur d'accès et de services webs, Troyak.org, dont le FBI et les experts en sécurité se félicitaient, dès le début de la semaine, de la fermeture.

Troyac propageait en effet volontairement ce même botnet Zeus.
Sa mise hors service par ses deux providers - l'ukrainien Ihome et le russe Oversun Mercury - aurait ainsi permis la neutralisation de 25 % des ordinateurs infectés, selon Cisco Systems.

Une belle victoire pensait-on.

A peine deux jours plus tard, Troyak.org a déjà recommencé ses activités. D'après des experts en sécurité qui suivent l'affaire de près, 68 serveurs de "commande et contrôle" de Zeus se seraient remis à fonctionner suite à ce retour.

Troyak.org est un FAI enregistrée par Roman Starchenko Fedorovitch. Ses serveurs son également connus pour être à l'origine de nombreux spams. Il lui aura donc fallu moins de 48 heures pour passer un accord avec un nouveau provider, nommé Ya, et reprendre ses activités.

Interrogé par la presse, Roman Starchenko Fedorovitch prétend que ce black-out d'à peine deux jours était lié à une mauvaise manipulation d'administration réseau. Mais qu'aujourd'hui "ne vous en faîtes pas, tout est rentré dans l'ordre et fonctionne parfaitement".

Une version immédiatement contredite par les experts à l'origine de la demande de déconnexion - experts dont au passage l'anonymat doit être protégé. Ils affirment que c'est bien une action conjointe avec ses anciens providers qui avait mis Troyak hors service.

Autre fait étrange, dans les deux jours qui ont précédés cette action coordonnée, l'activité de Zeus semble avoir connu un pic inhabituel. Cette activité anormale laisse penser que les cyber-criminels ont volontairement et massivement diffusé le botnet pour construire de nouveaux réseaux d'ordinateurs zombies qui ne seraient pas affectée par la déconnexion de Troyac.

Et donc qu'ils ont été prévenus.

Le FBI en vient à parler de "jeu du chat et de la souris".

Ce Zeus fait décidément de plus en plus penser à Sisyphe.


Et vous ?

D'après vous, les experts arriveront-ils un jour à venir à bout de Zeus (et des réseaux de botnets ce type) hors service ?

Quelle(s) solution(s) (politiques, juridiques, techniques) proposeriez-vous si vous étiez en charge de ce problème ?

[stardeath]

faudrait déjà que les utilisateurs faisant tout et n'importe quoi avec un compte admin arrêtent leurs conneries. combien de fois je suis allé chez des gens qui utilisent le compte admin alors que je me suis fait chier à leur expliquer les risques et créer des comptes restreints ...

inutilisable autrement qu'en admin, on croit réver ><, à moins d'installer des softs toutes les heures, le compte admin ne sert jamais.

[Choukroot]

Citation:

Envoyé par Gordon Fowler

[B]
D'après vous, les experts arriveront-ils un jour à venir à bout de Zeus (et des réseaux de botnets ce type) hors service ?

Quelle(s) solution(s) (politiques, juridiques, techniques) proposeriez-vous si vous étiez en charge de ce problème ?

Limiter l'impact de ces pratiques reste une chose réalisable par une réactivité immédiate etune technicité à la pointe, les spécialistes en sécurité en sont capables, et nous le démontre tous les jours. Sans quoi nos bécanes seraient passées par la fenêtre depuis longtemps.

En revanche, venir à bout de Zeus ou d'un autres groupes semble, à mon sens, impossible, et c'est tant mieux. Au prix de quelle liberté s'élèverait le coût d'un réseau informatique sans faille de sécurité ?

La société idéale n'existe pas. Encore une fois, tant mieux. Reste à être vigilant et performant pour que le net ne sombre pas du côté obscure de la force

[dams78]

Citation:

Envoyé par stardeath

faudrait déjà que les utilisateurs faisant tout et n'importe quoi avec un compte admin arrêtent leurs conneries. combien de fois je suis allé chez des gens qui utilisent le compte admin alors que je me suis fait chier à leur expliquer les risques et créer des comptes restreints ...

inutilisable autrement qu'en admin, on croit réver ><, à moins d'installer des softs toutes les heures, le compte admin ne sert jamais.

Justement il serait intéressant d'imaginer l'impact si le compte admin ne servait plus qu'à installer un logiciel (en gros impossible de se loguer avec) et d'avoir un système assurant l'intégrité des logiciels installés.
En gros avec ces deux méthodes le seul moyen pour un malware de s'installer serait de passer par une faille de sécurité, donc je me pose la question du nombre de botnets que cela représenterait.

[deadalnix]

Éducation.

Amélioration de système d'admin sous window (mais je suis confiant sur ce point, il y a eu de bon progrès avec vista). Le problème de la rétrocompatibilité se pose : il y a pas mal de programme sous windows (comme les sims par exemple) qui ne se lancent qu'avec les droits admin. Vista propose une solution intéressante en virtualisant une partie du système de fichiers. C'est dommage d'en arriver à ça, mais ça montre que microsoft a pris conscience des énormes lacunes des versions précédentes et s'attèle à les corriger. C'est bon signe.

[dams78]

des droits admin pour jouer...

[dvdbly]

Citation:

Envoyé par stardeath

faudrait déjà que les utilisateurs faisant tout et n'importe quoi avec un compte admin arrêtent leurs conneries. combien de fois je suis allé chez des gens qui utilisent le compte admin alors que je me suis fait chier à leur expliquer les risques et créer des comptes restreints ...

inutilisable autrement qu'en admin, on croit réver ><, à moins d'installer des softs toutes les heures, le compte admin ne sert jamais.

L'application de comptes restreints serait jouable si :
a) les utilisateurs savaient comment repasser en admin lorsque le besoin se présente ;
b) si les prestataires système prenaient la peine de se renseigner auprès des prestataires métier pour savoir ce qu'il ne faut pas restreindre pour que les applications fonctionnent correctement.

Et je suis bien au regret de dire que dans mon expérience (de prestataire métier, dans des PME), lorsque des comptes restreints sont mis en place, ni a) ni b) ne sont remplies ! Ce qui m'amène forcément à:
1) perdre un temps considérable pour retrouver le login admin ;
2) conseiller au client de faire sauter les restrictions qui empoisonne la vie de tout le monde (i.e. le client et son prestataire).

[atha2]

Citation:

Envoyé par Djug

Troyak.org est un FAI enregistrée par Roman Starchenko Fedorovitch. Ses serveurs son également connus pour être à l'origine de nombreux spams. Il lui aura donc fallu moins de 48 heures pour passer un accord avec un nouveau provider, nommé Ya, et reprendre ses activités.

Excusez ma méconnaissance du sujet mais quelle différence faites vous entre un FAI et un provider. Dans mon esprit il s'agit du même concept mais peut-être il y a plusieurs sens pour ces termes. Pouvez-vous m'expliquer quel sens entendez-vous derrière ces termes (FAI et provider) dans ce contexte précis.

Merci

[deadalnix]

Il n'y en a pas à proprement parler, si ce n'est que pour format internet, les fournisseurs doivent interconnecter les une les autres. Donc avoir des abonnement chez les uns et les autres.

Tu ne peux pas fournir un accès internet tout seul dans ton coin.