IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Des Malwares originaux et sophistiqués

  1. #1
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut Des Malwares originaux et sophistiqués
    Des Malwares originaux et sophistiqués

    Deux malwares découverts ce mois-ci ont retenu notre attention de part leur degré de sophistication et l'originalité des équipements qu'ils ciblent.
    Ces deux malwares représentent des dangers limités mais ils nous ont paru révélateurs de l'inventivité et de la professionnalisation des cybercriminels.

    Le cheval de Troie Skimer
    Sophos a découvert un cheval de Troie ciblant les distributeurs automatiques de billets (DAB).

    Ce cheval de Troie, baptisé Skimer et qualifié de sophistiqué par plusieurs sources, infecte les DAB du constructeur Diebold qui utilisent le système d'exploitation Microsoft Windows.

    Il enregistre les données des cartes de crédit insérées dans les appareils infectés ainsi que les codes PIN entrés lors de l'authentification du propriétaire de la carte. Ces informations peuvent ensuite être utilisées pour fabriquer un duplicata illégal de la carte originale.

    Les DAB n'étant généralement pas connectés à Internet, ce malware doit donc être installé par une personne ayant accès au réseau bancaire ou à la machine elle-même (compagnie de maintenance par exemple).
    Pour récupérer les données dérobées, un attaquant doit ensuite utiliser le clavier du distributeur infecté pour provoquer leur impression sur un récépissé.

    Ce mode de propagation explique que la diffusion de Skimer semble très restreinte, voire confidentielle. En effet, seuls quelques rares spécimens de ce malware ont été trouvés sur des DAB en Russie.

    La découverte de ce cheval de Troie apporte les enseignements suivants :

    les distributeurs automatiques de billets ne sont pas à l'abri d'attaques par du code malveillant,
    ces attaques nécessitent cependant un accès physique ou privilégié aux machines ciblées, ce qui limite fortement leur diffusion,
    le développement du code malveillant découvert a nécessité une connaissance précise du matériel et du logiciel des DAB attaqués, ce qui limite sa diffusion à une seule marque de machine. Cette information nous laisse à penser que les attaquants auraient tout aussi bien pu concevoir un malware contre des machines utilisant un système d'exploitation plus exotique que Microsoft Windows. Elle nous permet de tirer la conclusion que si les DAB utilisant Microsoft Windows sont plus vulnérables aux attaques, l'utilisation d'un autre système n'est pas une protection absolue contre les malwares.
    Après analyse, la menace liée à l'émergence du cheval de Troie Skimer est moins élevée que son aspect spectaculaire aurait pu laisser croire. En effet, de nombreux obstacles freinent sa diffusion et ce genre d'attaque présente pour des personnes malveillantes un retour d'investissement bien léger par rapport à des méthodes plus traditionnelles s'appuyant sur une propagation par Internet (Phishing, compromission de serveurs hébergeant des données personnelles etc.).

    Le ver Psybot

    Le ver Psybot découvert par la société DroneBL (spécialisée dans la surveillance des réseaux) et signalé par Symantec cible, quant à lui, certains routeurs.

    Il se propage via des attaques par force brute (identifiants/mots de passe) sur les interfaces web de routeurs basés sur une architecture MIPSel et utilisant le système d'exploitation Linux.

    Une fois l'identification par force brute réussie, Psybot se réplique sur le routeur via les commandes wget ou ftpget puis il bloque les ports TCP 22 (ssh), 23 (telnet) et 80 (interface web) afin d'interdire l'accès à cet équipement par les administrateurs.
    Puis il ouvre une porte dérobée sur le système infecté via un canal IRC, et se met en attente de commandes malveillantes de la part d'un serveur distant (déni de service distribué, téléchargement de code malveillant, scan de ports TCP, …).

    Ce ver est intéressant vis-à-vis du type d'équipements qu'il attaque (routeurs personnels). Sa dangerosité est toutefois atténuée par la spécificité de ces équipements (architecture, système d'exploitation, interface web rarement accessible sur Internet) et surtout parce que sa propagation (attaque par force brute) est uniquement possible sur des équipements protégés par des mots de passe faibles.

    Pour en savoir plus :
    Skimer

    Psybot


    Source : Cert-IST (relayé avec autorisation du Cert-IST)

  2. #2
    Membre actif
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    205
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 205
    Points : 206
    Points
    206
    Par défaut
    Cette information nous laisse à penser que
    Serait-il possible de savoir qui se cache derrière ce "nous"?

  3. #3
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut
    Citation Envoyé par julien_iz Voir le message
    Serait-il possible de savoir qui se cache derrière ce "nous"?
    La source : Cert-IST ?

  4. #4
    Membre actif
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    205
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 205
    Points : 206
    Points
    206
    Par défaut
    Citation Envoyé par ram-0000 Voir le message
    La source : Cert-IST ?
    Il n'y a pourtant pas de quote dans l'article

    EDIT:

    Ok, c'est un copie/colle d'article ....

  5. #5
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut
    Citation Envoyé par julien_iz Voir le message
    Ok, c'est un copie/colle d'article ....
    Tu as raison mais je préfère le mot "relayage d'article" dans ce cas précis

  6. #6
    Expert éminent sénior

    Avatar de Djug
    Homme Profil pro
    Inscrit en
    Mai 2007
    Messages
    2 980
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Algérie

    Informations forums :
    Inscription : Mai 2007
    Messages : 2 980
    Points : 17 972
    Points
    17 972
    Par défaut
    Deux malwares découverts ce mois-ci
    pour le troajn Skimer , la date de la découverte selon Symentec et Sophos date depuis plusieurs mois (17 mars 2009),

    tandis que le worm Psybot date depuis 24 du même mois

Discussions similaires

  1. Des malwares sophistiqués écrits en PowerShell refont surface
    Par Arsene Newman dans le forum Sécurité
    Réponses: 3
    Dernier message: 14/04/2014, 22h44
  2. Réponses: 2
    Dernier message: 16/03/2011, 20h40
  3. Infecté par des malwares
    Par miminet dans le forum Sécurité
    Réponses: 11
    Dernier message: 13/04/2009, 14h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo