Exostats/Exoscan |
Nombre de tests inclus
|
24445
|
|
Tests ajoutés |
Aujourd'hui |
Ce
mois |
23 |
23 |
|
|
Un nouveau Botnet fonctionnant en peer to peer
Par Ludovic Blin,
secuobs.com
Le 20/05/2006
Résumé : Le ver Nugache met en place un botnet fonctionnant selon une architecture de type peer to peer, et rend l’observation des communications entre ses membres plus difficile.
Le ver Nugache met en place un botnet fonctionnant selon une architecture de type peer to peer, et rend l’observation des communications entre ses membres plus difficile.
De nos jours, la plupart des malwares ont pour fonction de prendre le contrôle de la machine sur laquelle ils sont implantés pour lui faire rejoindre un réseau d’ordinateurs « zombis » ou « botnets ».
Par la suite, ces systèmes pourront être utilisés pour réaliser des attaques par déni de service distribué (DdoS) ou encore pour anonymiser des connexions.
La plupart des « bots » permettent également l’installation d’outils logiciels supplémentaires comme des collecteurs de mots de passes (keylogger) et d’informations personnelles.
Ces réseau, qui peuvent parfois rassembler des centaines de milliers d’ordinateurs (voire probablement des millions) était à l’origine contrôlés par le biais d’un canal IRC ou se connectaient tous les zombies pour prendre leurs instructions.
Mais cette méthode à vite révélé ses limites, les instructions passant en clair. Il est donc possible dans certains cas d’observer ces botnets, de prendre leur contrôle, ou encore plus facilement de les désactiver en touchant directement au serveur de contrôle centralisé.
Le ver Nugache, récemment découvert est un exemple récent des nouvelles techniques qui sont implémentés par les cyber-criminels pour préserver le contrôle et l’intégrité de leurs botnets.
Ce dernier utilise un mécanisme de communication de type peer to peer pour transmettre les ordres aux différents membres du réseau.
Pour commencer il fait appel à 22 hôtes dont les adresses IP ont été intégrées dans le code, et n’utilise pas le système DNS. A partir de ces premières connexions, il va pouvoir obtenir les adresses des autres membres du réseau.
Les communications entre ces membres sont au minimum encodées, ne laissant apparaître aucune chaîne de caractère directement reconnaissable. Le logiciel est en écoute sur le port 8 TCP. Il se propage en utilisant notamment la messagerie instantanée d’AOL, AIM mais des nouvelles fonctionnalités peuvent être ajoutées par ce mécanisme peer to peer.
Ce ver n’est pas le premier à implémenter des mécanismes p2p, Slapper, Sinit, ou encore Agobot l’ont fait avant, mais il semblerait que les botnets deviennent de en plus difficiles à observer et à désactiver. | Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, données, fonction, présentation, outil, linux, bluetooth, vista, gestion, shell, trames, wishmaster, sysun, metasploit, engineering, paquets, téléphone, fonctions |
| Mini-Tagwall de l'annuaire video : | | | | virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, spammer, kernel, malware, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, server, wireshark, virtual, metasploit, intel, protect, openbsd, hitbsecconf2006, jailbreak, rootkit, ubuntu, norton, exploit, hijackthis, ettercap, samsung, screen, fingerprint, vista, flash, desktop |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless |
|
|
|
|
|
