+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 892
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 892
    Points : 63 973
    Points
    63 973

    Par défaut Une attaque massive de minage de cryptomonnaie a été lancée avant WannaCry

    Une attaque massive de minage de cryptomonnaie a été lancée avant WannaCry
    et s'appuie également sur les outils dérobés à la NSA

    Vendredi dernier, un ransomware baptisé WannaCry a été massivement déployé en utilisant les outils de piratage de la NSA qui ont fuité pour se propager rapidement. EternalBlue, le nom de l’exploit utilisé, a été dévoilé pour la première fois par l’entité Shadow Brokers le 14 avril dernier et exploitait une faille dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un réseau local.

    Cette attaque particulière a également utilisé l’exploit de la NSA appelée DoublePulsar pour installer le ransomware.

    Cependant, des chercheurs ont déclaré que le même kit d'armes numériques a été utilisé dans un hack beaucoup plus tôt et peut-être à plus grande échelle qui visait à mettre les ordinateurs infectés dans un botnet pour miner une cryptomonnaie : « nous avons découvert une autre attaque à très grande échelle qui utilise à la fois EternalBlue et DoublePulsar pour installer le mineur cryptodynamique Adylkuzz. Les statistiques initiales suggèrent que cette attaque peut être plus importante que WannaCry : parce que cette attaque arrête les réseaux SMB pour empêcher d'autres infections par d'autres logiciels malveillants (y compris donc WannaCry) via cette même vulnérabilité, il a peut-être limité la propagation de l’infection WannaCry la semaine dernière », ont noté les chercheurs de Proofpoint.

    Les symptômes de cette attaque incluent la perte d'accès aux ressources partagées de Windows et la dégradation des performances du PC et du serveur. « Plusieurs grandes entreprises ont signalé des problèmes de réseau ce matin qui ont été initialement attribués à la campagne WannaCry. Cependant, en raison de l'absence d'avis de rançon, nous pensons désormais que ces problèmes pourraient être associés à l'activité d’Adylkuzz. Toutefois, il convient de noter que la campagne d'Adylkuzz est en grande partie antérieure à l'attaque de WannaCry et a commencé au moins le 2 mai, voire dès le 24 avril. Cette attaque est en cours et, bien que moins flashy que WannaCry, elle est néanmoins assez importante et potentiellement assez perturbatrice ».

    C’est durant des recherches sur la campagne WannaCry que Kafeine, un chercheur de Proofpoint, est tombé sur cette autre attaque : « Nous avons exposé une machine de laboratoire vulnérable à l'attaque EternalBlue. Alors que nous nous attendions à voir WannaCry, la machine de laboratoire a effectivement été infectée par un invité inattendu et moins bruyant : le mineur cryptodynamique Adylkuzz. Nous avons répété l'opération à plusieurs reprises avec le même résultat : 20 minutes après avoir exposé une machine vulnérable au Web ouvert, elle a été inscrite dans un botnet minier Adylkuzz ».

    L'attaque est lancée à partir de plusieurs serveurs privés virtuels qui analysent massivement Internet à la recherche du port TCP 445 pour voir des cibles potentielles.

    Lors de l'exploitation réussie via EternalBlue, les machines sont infectées par DoublePulsar. La porte dérobée DoublePulsar télécharge et exécute Adylkuzz depuis un autre hôte. Lorsqu’il est exécuté, Adylkuzz arrête d'abord toutes les instances potentielles de lui-même déjà en cours d'exécution et bloque la communication SMB pour éviter d'autres infections. Il détermine alors l'adresse IP publique de la victime et télécharge les instructions d'extraction, cryptominer et les outils de nettoyage.

    « Il semble qu’à un moment donné, il existe plusieurs serveurs de commande et de contrôle Adylkuzz (C&C) hébergeant les binaires cryptominer et les instructions minières », précise Proofpoint.

    Source : Proofpoint

    Voir aussi :

    WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes et aux gouvernements leurs responsabilités
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    décembre 2010
    Messages
    11 907
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2010
    Messages : 11 907
    Points : 18 351
    Points
    18 351
    Billets dans le blog
    10

    Par défaut

    Bonjour

    Les outils de piratage créés pour la NSA sont une source inépuisable pour les informaticiens malveillants.
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  3. #3
    Membre éprouvé Avatar de shaun_the_sheep
    Homme Profil pro
    Chef de projet NTIC
    Inscrit en
    octobre 2004
    Messages
    1 582
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Chef de projet NTIC
    Secteur : Enseignement

    Informations forums :
    Inscription : octobre 2004
    Messages : 1 582
    Points : 972
    Points
    972

    Par défaut

    Bonjour

    La question est peut être idiote mais comment identifie t'on la présence de ce botnet minier Adylkuzz sur un poste windows ?
    Merci d'avance

  4. #4
    Expert éminent Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    2 446
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 2 446
    Points : 7 133
    Points
    7 133

    Par défaut

    Le plus simple je pense c'est de check les logs de ton réseau. Pour utiliser la blockchain le botnet doit faire pas mal de requêtes.
    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

    Trust me, i'm an engineer !
    https://www.youtube.com/watch?v=rp8hvyjZWHs

  5. #5
    Membre actif

    Homme Profil pro
    Directeur de projet
    Inscrit en
    juillet 2003
    Messages
    68
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Directeur de projet
    Secteur : Transports

    Informations forums :
    Inscription : juillet 2003
    Messages : 68
    Points : 234
    Points
    234

    Par défaut

    J'imagine que l'on peut remonter aux personnes exploitant ces failles via les informations de minage non ?

  6. #6
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    novembre 2013
    Messages
    14
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations forums :
    Inscription : novembre 2013
    Messages : 14
    Points : 15
    Points
    15

    Par défaut

    Citation Envoyé par Bigb Voir le message
    J'imagine que l'on peut remonter aux personnes exploitant ces failles via les informations de minage non ?
    La principale caractéristique des crypto-monnaies est qu'elles peuvent garantir un anonymat assez conséquent . C'est pas pour rien qu'elle est le nerf du DW .

  7. #7
    Expert éminent Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    2 446
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 2 446
    Points : 7 133
    Points
    7 133

    Par défaut

    Au mieux tu remonteras sur la clef publique auto-signée. Autant dire sur rien.
    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

    Trust me, i'm an engineer !
    https://www.youtube.com/watch?v=rp8hvyjZWHs

Discussions similaires

  1. Réponses: 8
    Dernier message: 15/11/2016, 13h52
  2. Réponses: 6
    Dernier message: 01/11/2009, 09h03
  3. Détecter et contrer une attaque DNS
    Par tesla dans le forum Général Algorithmique
    Réponses: 5
    Dernier message: 05/12/2005, 13h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo