IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le FBI démantèle le botnet Coreflood, à l'aide d'une technique peu répandue


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Le FBI démantèle le botnet Coreflood, à l'aide d'une technique peu répandue
    Le FBI démantèle le botnet Coreflood, à l'aide d'une technique peu répandue

    Le FBI vient d'annoncer avoir mis hors d'état de nuire le botnet Coreflood, qui incorporait près de 2.3 millions de machines infectées. L'opération a été menée suite à l'accord d'un juge, et a un peu consisté en une version numérique de l'arroseur arrosé.

    Les experts américains ont alors infiltré le réseau à la solde des pirates pour prendre en main l'un de ses centres névralgiques. Grâce à cela, ils ont pu modifier les injonctions envoyées et ordonner à de nombreux ordinateurs de cesser d'exécuter le malware. Résultat, le botnet s'est comme auto détruit.

    Et les adresses IP des machines compromises ont été transmises aux FAIs, pour qu'ils avisent leurs propriétaires de nettoyer leurs machines et de prendre garder à les sécuriser davantage.

    McAfee verse néanmoins de l'eau dans le vin de ce succès et met en garde contre une possible résurrection du réseau de PC zombies : «Cela ne veut pas dire que Coreflood ne renaîtra pas de ses centres, et d'autres botnets prendront sa place».

    Que pensez-vous de la technique utilisée ?

    Une arme anti-botnets sera-t-elle un jour découverte ?

  2. #2
    Membre chevronné Avatar de Guardian
    Profil pro
    Inscrit en
    Mars 2009
    Messages
    820
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Mars 2009
    Messages : 820
    Points : 1 808
    Points
    1 808
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Que pensez-vous de la technique utilisée ?
    Qu'on n'est plus maître chez soi ma bonne dame

    Citation Envoyé par Katleen Erna Voir le message
    Une arme anti-botnets sera-t-elle un jour découverte ?

  3. #3
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2004
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Juin 2004
    Messages : 374
    Points : 1 399
    Points
    1 399
    Par défaut
    J'espère que vous pardonnerez mon ignorance, mais quelles autres techniques existent pour détruire un botnet ? Mettre hors d'état tous les serveurs de "directives" me semble impossible vues (vu ? Je ne sais jamais si on accorde dans ce cas :p) les législations des différents pays dans lesquels ils sont générallement dispersés ...

    En tout cas, c'est bon à savoir que quelques batailles sont gagnées dans la guerre contre les botnets !

  4. #4
    Nouveau membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2011
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Avril 2011
    Messages : 8
    Points : 38
    Points
    38
    Par défaut
    Que pensez-vous de la technique utilisée ?
    C'est fourbe, j'aime bien.

    Une arme anti-botnets sera-t-elle un jour découverte ?
    Je ne pense pas qu'il y a d'arme absolue.
    Et d'ailleur pour repondre a Shepard la meilleure arme c'est la prophylaxie, ou la securisation des postes personnel et des serveurs.

    Sans parler des antivirus, Le probleme c'est que la plupart des infections sont dues à des exploitations de failles sur des systemes d'exploitation ou des programmes non mis a jours.

    Il y a aussi un second angle d'attaque des botnet qui est pourtant facile à contrer : le social engineering.
    Un des moyens de propagation le plus efficace des botnet est l'envoi de mail a tous les contacts enregistrés sur la machine infectée. Chaque contact va alors recevoir un mail contenant un lien bidon du genre "cliquez moi dessus et vous aurez plein d'euros".
    Et maleureusement, il y a toujours des gens non informés qui vont cliquer sur le lien malefique, redirigeant vers un page web contenant une panoplie de scripts pour trouver une faille dans le navigateur de l'inconscient qui ne voulais que plein d'euros et pas de vilains virus.

  5. #5
    Membre expert
    Avatar de Sunchaser
    Homme Profil pro
    OPNI (Objet Programmant Non Identifié)
    Inscrit en
    Décembre 2004
    Messages
    2 059
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 53
    Localisation : France, Manche (Basse Normandie)

    Informations professionnelles :
    Activité : OPNI (Objet Programmant Non Identifié)
    Secteur : Industrie Pharmaceutique

    Informations forums :
    Inscription : Décembre 2004
    Messages : 2 059
    Points : 3 204
    Points
    3 204
    Par défaut
    Bonjour,

    Bon, je ne suis pas vraiment un expert en la matière, dont je mets tout au conditionnel, mais a l'instar de Shepard je me demande si ce n'est tout simplement pas la seule bonne méthode pour le moment pour mettre hors circuit ce genre de monstre.
    Je crois me souvenir (pas sur) d'avoir déjà lu un article qui détaillait tout le processus (pour une bébète dont je ne connais plus le nom), dans la revue MISC je crois. Et, toujours conditionnel vu ma mémoire, je me demande même si ce n'était pas des chercheurs francais ...
    (mais je fais peut être une crise de cocoricoite aiguë inutile)
    Aux persévérants aucune route n'est interdite.
    Celui qui ne sait pas se contenter de peu ne sera jamais content de rien.
    Current Status
    Avec 40% de pollinisateurs invertébrés menacés d'extinction selon les Nations Unies, l'homme risque fort de passer de la monoculture à la mono diète...
    Faîtes quelque chose de bien avec vos petits sous: Enfants du Mekong

  6. #6
    Membre éprouvé Avatar de Elepole
    Profil pro
    Développeur informatique
    Inscrit en
    Avril 2010
    Messages
    504
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Avril 2010
    Messages : 504
    Points : 1 145
    Points
    1 145
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Que pensez-vous de la technique utilisée ?
    Mhhh, encore un peu et on se croirait dans un film ! Manque plus qu'un nerd avec 6 écrans, trois clavier et pas de souris pour que sa soit parfait. (je me propose pour le role \o/)

    Citation Envoyé par Katleen Erna Voir le message
    Une arme anti-botnets sera-t-elle un jour découverte ?
    C'est comme chercher une arme anti-crime .... le mieux qu'on puisse faire c'est de sécuriser les pc du mieux qu'on peut (autrement dit, rendre 25% des pc sur, et les autre 75% de madame Michu resteront vulnérable, chiffre totalement pris au hasard en utilisant un pifometre)
    Citation Envoyé par Killing Joke Voir le message
    1984 : Big Brother is watching you.
    2011 : Big Brother is hosting you.

  7. #7
    Membre chevronné
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    940
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 940
    Points : 1 816
    Points
    1 816
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Que pensez-vous de la technique utilisée ?
    Bien joué, dommage que ça n'ait pas permis l'arrestation des pirates. Je me demande quels moyens ont été nécessaires : est-il financièrement possible d'attaquer tous les botnets de la sorte?

    Citation Envoyé par Katleen Erna Voir le message
    Une arme anti-botnets sera-t-elle un jour découverte ?
    Sur ce, mon avis rejoint celui d'ArielD :
    Citation Envoyé par ArielD Voir le message

  8. #8
    Membre éprouvé

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Septembre 2010
    Messages
    450
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Septembre 2010
    Messages : 450
    Points : 1 073
    Points
    1 073
    Par défaut
    Une arme anti-botnets sera-t-elle un jour découverte ?
    Si vous moinsez, merci de répondre pour argumenter!
    Ma présentation

  9. #9
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2009
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Janvier 2009
    Messages : 86
    Points : 180
    Points
    180
    Par défaut
    Citation Envoyé par Shepard Voir le message
    J'espère que vous pardonnerez mon ignorance, mais quelles autres techniques existent pour détruire un botnet ? Mettre hors d'état tous les serveurs de "directives" me semble impossible vues (vu ? Je ne sais jamais si on accorde dans ce cas :p) les législations des différents pays dans lesquels ils sont générallement dispersés ...

    En tout cas, c'est bon à savoir que quelques batailles sont gagnées dans la guerre contre les botnets !
    C'est "vu", qui est une exception à la langue française dans ce cas d'utilisation et ne s'accorde pas, tout comme ci-joint et un autre que j'ai oublié.

    EDIT : J'ai trouvé un lien sur cette règle : http://www.bertrandboutin.ca/Folder_...PLOYÉ_SANS_AUX. Pour ceux qui ont la flemme, si "vu" est placé avant le nom, il n'est pas accordé.

  10. #10
    Membre régulier Avatar de marten.cylemb
    Homme Profil pro
    Développeur Java
    Inscrit en
    Janvier 2011
    Messages
    41
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Janvier 2011
    Messages : 41
    Points : 112
    Points
    112
    Par défaut
    Malgré mon ignorance sur le sujet, il me semble qu'actuellement et que ce soit pour les virus, backdoors, botnet, etc les solutions trouvées ne sont à chaque fois que très spécifiques, dans ces conditions on voit mal comment une solution miracle pourrait voir le jour ?

    • Est ce qu'un schéma de reproductibilité existe ?
    • Comment créer une arme anti-botnet qui n'envahisse pas le quotidien ?
    • Comme garantir que cette arme ne s'attaquerais pas à des programmes qu'elle n'est pas censée gérer ?

  11. #11
    Membre éprouvé

    Homme Profil pro
    Directeur des systèmes d'information
    Inscrit en
    Septembre 2010
    Messages
    450
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Directeur des systèmes d'information

    Informations forums :
    Inscription : Septembre 2010
    Messages : 450
    Points : 1 073
    Points
    1 073
    Par défaut
    Citation Envoyé par marten.cylemb Voir le message
    Malgré mon ignorance sur le sujet, il me semble qu'actuellement et que ce soit pour les virus, backdoors, botnet, etc les solutions trouvées ne sont à chaque fois que très spécifiques, dans ces conditions on voit mal comment une solution miracle pourrait voir le jour ?

    • Est ce qu'un schéma de reproductibilité existe ?
    • Comment créer une arme anti-botnet qui n'envahisse pas le quotidien ?
    • Comme garantir que cette arme ne s'attaquerais pas à des programmes qu'elle n'est pas censée gérer ?
    Il existe effectivement des méthodes d'analyse anti-virus capables de repérer des comportements caractéristiques de virus pour en identifier de nouveaux, inconnus à la sortie de l'anti-virus et non-présent dans sa liste.

    http://fr.wikipedia.org/wiki/Logicie...ments_suspects
    Si vous moinsez, merci de répondre pour argumenter!
    Ma présentation

  12. #12
    Membre éprouvé Avatar de Elepole
    Profil pro
    Développeur informatique
    Inscrit en
    Avril 2010
    Messages
    504
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Avril 2010
    Messages : 504
    Points : 1 145
    Points
    1 145
    Par défaut
    Citation Envoyé par YannPeniguel Voir le message
    Il existe effectivement des méthodes d'analyse anti-virus capables de repérer des comportements caractéristiques de virus pour en identifier de nouveaux, inconnus à la sortie de l'anti-virus et non-présent dans sa liste.

    http://fr.wikipedia.org/wiki/Logicie...ments_suspects
    Sa n'a jamais vraiment marché: trop de faux-positif: infact y'a tellement de programme qui ont un comportement de virus, trojan ou autre que finalement sa revient a avoir peur de son ombre. (et je parle même pas des anti-virus heuristique qui signale tout programme utilisant un packer telle que PKlite comme viral.
    Citation Envoyé par Killing Joke Voir le message
    1984 : Big Brother is watching you.
    2011 : Big Brother is hosting you.

  13. #13
    Membre régulier Avatar de marten.cylemb
    Homme Profil pro
    Développeur Java
    Inscrit en
    Janvier 2011
    Messages
    41
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Janvier 2011
    Messages : 41
    Points : 112
    Points
    112
    Par défaut
    Citation Envoyé par Elepole Voir le message
    Sa n'a jamais vraiment marché: trop de faux-positif: infact y'a tellement de programme qui ont un comportement de virus, trojan ou autre que finalement sa revient a avoir peur de son ombre. (et je parle même pas des anti-virus heuristique qui signale tout programme utilisant un packer telle que PKlite comme viral.
    C'est un peu ce que j'avais en tête oui, et c'est vraiment problématique. J'ai un peu l'impression que si on devait un jour partir vers ce genre de solutions, chaque utilisateur devrait se constituer sa propre white list dans le même principe que celles qu'on utilise pour nos pare-feux.

    Pas une mince affaire tout ça, surtout pour l'utilisateur lambda..

  14. #14
    Membre habitué Avatar de zolive
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    152
    Détails du profil
    Informations personnelles :
    Localisation : France, Isère (Rhône Alpes)

    Informations forums :
    Inscription : Décembre 2003
    Messages : 152
    Points : 137
    Points
    137
    Par défaut
    Ils ont auto détruit le bottleneck, c'est bien...
    A quand l'utilisation d'un bottleneck pour en détruire un autre (et pas lui meme) puis l'auto destruction...

  15. #15
    Membre averti Avatar de tigzy
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    285
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : Mars 2010
    Messages : 285
    Points : 365
    Points
    365
    Par défaut
    Sans parler des antivirus, Le probleme c'est que la plupart des infections sont dues à des exploitations de failles sur des systemes d'exploitation ou des programmes non mis a jours.
    Salut

    Là en l’occurrence il s'agit plutôt de personnes infectées via le P2P (cracks/keygens et cie)
    Développeur de RogueKiller

  16. #16
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    Mai 2006
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 7
    Points : 12
    Points
    12
    Par défaut
    Citation Envoyé par Shepard Voir le message
    ... me semble impossible vues (vu ? Je ne sais jamais si on accorde dans ce cas :p) les législations...
    "vu" est utilisé en lieu et place de "au vu des législations" dans le langage parlé et ne s'accorde donc pas.

    Ssmiling For Ever ;-)

  17. #17
    Nouveau membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2011
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Avril 2011
    Messages : 8
    Points : 38
    Points
    38
    Par défaut
    Là en l’occurrence il s'agit plutôt de personnes infectées via le P2P (cracks/keygens et cie)
    Sur ce botnet en particulier ?

    Le problème est toujours le même je pense. Le moteur de contamination reste le social engineering. Dans le cas présent c'est la crédulité de l'utilisateur du logiciel piraté (ou de piratage) qui est exploitée.
    C'est sur que si sur le site contenant le tracker (pour le p2p) on indique a l'utilisateur : "Ne t'inquiète pas, c'est détecté comme un virus mais ca n'en est pas un !" et qu'effectivement l'antivirus hurle qu'il a trouvé un truc du genre "win32BackOrifice" et que ledit utilisateur ne se pose toujours pas de question, on ne peut pas faire grand chose contre ce mode de propagation des botnets.

    Pourtant il est facile de détecter un comportement anormal d'un programme. Le point essentiel étant qu'un programme n'as pas à se connecter à un serveur sans indiquer pourquoi il le fait et surtout si on ne lui en donne pas l'autorisation. C'est pourquoi il peut être intéressant d'utiliser un firewall différent de celui présent par défaut sur le système, qui sera probablement une des premières sécurités contourné par le virus.

  18. #18
    Membre averti Avatar de tigzy
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    285
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : Mars 2010
    Messages : 285
    Points : 365
    Points
    365
    Par défaut
    Sur ce botnet en particulier ?
    Sur les botnets en général.


    et qu'effectivement l'antivirus hurle qu'il a trouvé un truc du genre "win32BackOrifice" et que ledit utilisateur ne se pose toujours pas de question, on ne peut pas faire grand chose contre ce mode de propagation des botnets.
    Le problème est tout autre.
    Les éditeurs de malware possèdent des framework pour modifier les hashs des malwares. ça passe à la moulinette, et le tracker est sans cesse modifé.

    Quand je dit P2P, c'est un peu restrictif. En fait, j'aurais du dire cracks/Keygens tout court, car beaucoup proviennent de sites dont les url tournent.

    Les samples sont sans cesse modifiés, pour bypasser les AVs
    Développeur de RogueKiller

  19. #19
    Futur Membre du Club
    Profil pro
    Inscrit en
    Juin 2011
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juin 2011
    Messages : 21
    Points : 5
    Points
    5
    Par défaut
    Cette technique n'est pas mal du tout. Qu'auraient-ils fait si les concepteurs de la porte dérobée n'y avaient pas intègré un code qui permet de la supprimer ?

    Une arme anti-botnets ? Jamais. (Ne me sortez pas le vieux "ne jamais dire jamais")

    Les concepteurs de portes dérobées ne pensent pas assez bien leur création afin qu'elle passe totalement inaperçue. Avec un peu plus de jugeote ils arriveront surement à créer un botnet très dur à détecter. La probabilité qu'ils puissent créer un botnet indétectable n'est pas nulle.

Discussions similaires

  1. Réponses: 12
    Dernier message: 19/04/2011, 10h49
  2. Aide pour une requete ... "COUNT(*)"
    Par mechantebestiole dans le forum Langage SQL
    Réponses: 13
    Dernier message: 25/05/2004, 17h27
  3. besoin d'aide pour une requête
    Par Damien69 dans le forum Langage SQL
    Réponses: 11
    Dernier message: 31/03/2004, 16h38
  4. Aide sur une requete de sélection
    Par stephdiplo150 dans le forum Langage SQL
    Réponses: 4
    Dernier message: 16/01/2004, 11h40
  5. Aide sur une fenetre
    Par Ray-j dans le forum Autres éditeurs
    Réponses: 4
    Dernier message: 29/11/2002, 09h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo