Rappel : Le spreading (spread, spreader) veut dire "diffuser".
Qu'est-ce que le "spreader" spread ? Un malware. Cela va de soi !
Un malware peut être :
- un RAT (http://en.wikipedia.org/wiki/Remote_Administration_Tool)
- un trojan (http://fr.wikipedia.org/wiki/Cheval_...(informatique))
- un virus (http://fr.wikipedia.org/wiki/Virus_informatique)
- un worm (http://en.wikipedia.org/wiki/Computer_worm)
- etc.
Pour ne pas vous noyer avec des termes techniques et d'explications trop poussées, je dirais simplement que, d'une manière générale, le RAT et le trojan sont les plus employés par les spreaders. Cependant les virus et pire encore, les worms sont aussi bel et bien présents sur la scène.
A quoi servent-ils, "en gros", du point de vue de l'attaquant ?
Evidemment, vous vous en doutez : le vol de vos données confidentielles. Mais ce n'est pas tout. Il peuvent aussi êtres utilisés à des fins de calculs (voir plus loin, botnet, DoS, DDoS) et de chantage.
Alors, commençons par le plus courant :
Le vol de données :
Sachez qu'en exécutant (en double-cliquant sur le logiciel (ou autre) d'apparence clean que l'attaquant vous a envoyé) le malware, des tâches de fonds s'exécuteront et s'installeront dans votre système (bien évidemment, dans au moins 90% des cas, il s'agit de Windows, mais ça aussi, j'en reparlerai plus loin) et se mettront en "écoute". Certains malwares donnent la main directement (l'accès total du contenu de votre ordinateur) à l'attaquant, certains nécessitent votre participation. En effet, ils enregistrent les keystrokes (frappes clavier) lorsque vous rentrez vos identifiants dans un form (un formulaire d'identification sur un site, un forum, un logiciel, etc). Tout cela est envoyé, en temps réel, à l'attaquant, qui reçoit vos données en laissant travail son malware dans votre ordinateur.
Ainsi donc, si vous vous connectez à votre compte en banque, à paypal, à ebay, à world of warcraft, à MSN ou à ce que vous voulez, vos données seront "écoutées" et envoyées à l'attaquant.
Qu'en fait l'attaquant ?
Soit il les utilise pour son compte propre (c'est très rare), soit il les revend par lot (c'est le plus courant). Les prix sont dérisoires pour le dommage possible infligé à la victime.
Petite grille tarifaire d'un shop (une boutique) :
1 compte megaupload premium 1 mois : 2€
1 compte megaupload premium 6 mois : 3€
1 compte megauplaod premium 1 an : 5€
1 compte megaupload premium à vie : 10€
idem pour filesonic, rapidshare, hotfile, fileserve, alldebrid, fastdebrid, realdebrid, megadebrid, etc.
25 comptes facebook : 2€
50 comptes facebook : 3€
100 comptes facebook : 5€
300 comptes facebook : 10 €
idem pour twitter, gmail, yahoo, msn, etc.
25 comptes wawa : 2€
50 comptes wawa : 3€
100 comptes wawa : 5€
300 comptes wawa : 10€
idem pour downparadise, torrent411, planete-lo lo, oleoo, etc.
10 comptes neuf : 2€
25 comptes neuf : 3€
50 comptes neuf : 5€
100 comptes neuf : 10€
idem pour sfr, orange, bouygues, free, etc.
5 comptes ebay : 2€
15 comptes ebay : 3€
30 comptes ebay : 5€
50 comptes ebay : 10€
idem pour amazon, priceminister, etc.
5 comptes WoW : 2€
15 comptes WoW : 3€
30 comptes WoW : 5€
50 comptes WoW : 10€
idem pour prizee, minecraft, ogame, battlefield, etc.
5 comptes FTP/admin web : 2€
15 comptes FTP/admin web : 3€
30 comptes FTP/admin web : 5€
50 comptes FTP/admin web : 10€
Des comptes brazzers, deezer, canalplus, fnac, cheat-games, alldebrid, cdiscount, tf1, m6, virginmega, jeux-videos, adopteunmec, moviz, viadeo, dropbox, nintendo, xbox, verygames, linkedin, ultravpn, grepolis, numericable, etc. sont aussi revendables.
Les comptes liés à des cartes bleues tels que Paypal, Western Union, etc, sont quant à eux vendus en général entre 2 et 5€.
Les cartes bleues volées directement sont quant à elles vendues en général :
5cc : 10€
10cc : 15€
50cc : 30€
100cc : 50€
Note : les prix peuvent fortement varier en fonction des stocks disponibles et des informations sur des comptes précis et aussi et surtout de la crédulité de l'acheteur.
Notez aussi que l'on vous revend. Oui, vous. Une fois que vous êtes contaminé, vous appartenez à l'attaquant. Vous êtes ce qu'on appelle un "zombie" (vous répondez aux ordres (votre ordinateur) qu'exécute l'attaquant). Vous êtes un "bot". Plusieurs bots (robots) constituent un botnet (encore une fois, nous en parlerons plus loin). Sachez qu'un bot est revendu en moyenne 10cent l'unité.
Revenons sur notre grille tarifaire, et à leur utilité pour le racheteur.
Les comptes megaupload, rapidshare, etc, c'est pour tout simplement ne pas payer l'abonnement, ou revendre le compte plus cher ailleurs, à quelqu'un d'autre. Idem pour les comptes sfr, neuf, etc. C'est pour se connecter gratuitement à des hotspots.
Les comptes de jeux tels que World of Warcraft, prizee, dofus, etc. servent soit à voler le compte poru compte propre si l'acheteur est un joueur, soit pour de la revente, soit pour du vandalisme gratuit.
Les comptes ebay, priceminister, etc, sont très importants. En effet, ils sont analysés un par un et revendus (en général) en fonction de leur caractéristiques. Si l'attaquant tombe sur un revendeur professionnel très bien coté, il va bien évidemment vendre plusieurs choses très cher et ne jamais envoyer le colis attendu et encaisser les gains. Ou il peut commander pour compte propre, et se faire livrer à un point relai.
Les comptes facebook, gmail sont fouillés, saccagés, ou autre, mais surtout, ils servent de vecteur de spreading. En effet, l'attaquant se place sur votre compte facebook et envoie à tout le monde un lien alléchant vers un logiciel à installer. Puisque l'info vient de vous, vos amis téléchargeront. Idem sur les chat tels que MSN ou même Skyrock ! Il n'est pas rare que de voir le compte d'une fille piraté, voire sa photo changer pour une fille très attirante, et aller spreader sur le chat ! C'est très courant.
Les accès aux sites internet servent à deux choses. La première est de vider les bases de données éventuelles pour spammer (spreader) tous les membres de la part de l'admin ou autre, ou encore voler des tables de CC ou autre, la seconde est d'effacer le contenu du site internet et d'y mettre une "déface" signée du nom de l'attaquant. L'administrateur web croit pouvoir rectifier le tir, et là encore, il se plante, a été uploadé un shell qui permet de garder le contrôle du site, et il n'en a aucune connaissance. Beaucoup de webmasters n'y connaissent strictement rien à la sécurité informatique, tout du moins de ce genre. Leurs clients demandent réparation, etc.
Et enfin, nous en venons à ce qui, à mon sens, ferme la boucle, et lui permet de continuer de tourner. Les sites de spread sont en général… les sites de warez ! Ainsi, les reventes de comptes t411, telechargementz, wawa, etc. servent à rediffuser le virus. Il suffit de tomber sur des comptes qui ont une bonne réputation et c'est le strike, tout le monde télécharge, et tout le monde se fait infecter.
Comment se compose un post d'un tool backdoored (un malware a l'apparence de logiciel sympatique, si vous voulez) à des fins de spread ?
Simple.
Pour commencer, le spreader n'a pas de temps à perdre. Il va sur des sites généraux, et copie des pans entiers de descriptions du tool, il met les balises de DL les plus alléchantes telles que [MULTI] ou [MU], il va uploader des images, vous détailler les caractéristiques, bref, vous faire un post de professionnel… qu'il aura entièrement copié collé ! Il crypte son server (son malware) via un crypter (pour le rendre indétectable aux AVs) puis le bind (fusionne le malware) avec le logiciel, le patch, le crack voire même tout autre type de fichier, et de surcoit utilise des tools comme des filepumper pour augmenter la taille (le poids) du malware (afin que son faible poids initial ne paraisse pas suspect) et il le spread sur le forum de paratage ou via chat, P2P ou autre. Ahh, le logiciel sera fonctionnel, oui (quoique parfois non, c'est fait "à l'arrache" et ça fait de la victime quand même… le malware étant spread tel quel (il ne fonctionnera pas chez vous) désolant^^), mais vous vous chopperez le malware ! De plus, s'il le fait depuis un compte spoof (volé, usurpé) qui a une bonne réputation, et qu'il est fait impeccablement… Tout le monde va se ruer dessus et dire merci !
Autres notion à savoir, les "team" de "hackers" se "plussoient" entre-eux, c'est-à-dire qu'ils ne vont pas télécharger/tester le logiciel que le spreader (leur complice) aura spreadé, mais il va dire "merci ! t'assures ! 100% fonctionnel", etc, de sorte à ce que les autres soient influencés par les commentaires. Ensuite, une fois le logiciel téléchargé 10, 20, 50 fois, un petit re up du topic par le spreader ou un complice, et c'est reparti pour un tour ! De plus, le spreader ne post pas plus de 5 tools backdoored par semaine (pour qu'il n'y ait pas "flood" et donc ne pas attirer l'attention des modérateurs sur eux ; ils disposent de centaines de comptes, donc ce n'est pas un souci pour eux).
Ici est le point crucial de ce "tutoriel" de compréhension des méthodes usitées par les spreaders.
En effet, si vous ne tombez pas dans les pièges des spreaders, vous ne vous ferez pas infecter, vous ne vous ferez donc pas voler, et, vous éviterez à votre entourage de ce faire contaminer à cause de vous (à votre insu bien sûr).
Sachez que le spreading est tout un art et que toutes les techniques les plus malignes sont exploitées. Que ce soit des "fake tools" comme : "téléchargez ce logiciel, regardez, il crack les mots de passe facebook en 5mn !" postés en vidéo de démo sur Youtube, Dailymotion ou autre, tout est bon pour vous faire prendre.
C'est pour cela qu'il faut que vous sachiez où se situent les risques.
Ne jamais exécuter un logiciel dont vous n'êtes pas sûr. Inutile de passer le malware au scan de type NVT (No Virus Thanks) ou autre scanner antivirus online, cela est vain. Les "servers" (les malwares) sont FUD (indétectables par les AVs (AntiVirus)) et ils bypasseront (esquiveront) tous vos systèmes de sécurité, que ce soit des antivirus, anti-spyware, firewall etc.
Non, ce qu'il faut c'est :
1. Etre au courant des techniques et ne pas tomber dans des panneaux grotesques ;
2. Utiliser des Machines virtuelles (nous allons voir cela par la suite) ;
3. Si vous êtes courageux : apprendre comment déceler un malware FUD (c'est pas à la portée de tout le monde).
Dans tous les cas, vous ne devez pas faire confiance à qui que ce soit ! Préférez télécharger des sources sûres, des tools open source, etc. si vous ne savez pas comment vous y prendre.
Revenons sur deux points.
Botnet :
A quoi sert un botnet ? A DoS (http://fr.wikipedia.org/wiki/Attaque...éni_de_service) ou encore DDoS (distributed denial of service attack) qui sont des attaques massives.
Je ne vais pas rentrer dans les détails sur "comment avoir une puissance de DDoS phénoménale" mais ceci est faisable avec peu de connaissances et avec peu de budget (avec 100€ vous faites tomber n'importe quel site sous serveur dédié, et ce, toute la journée).
Je ne vais pas tergiverser sur le sujet, je vais simplement vous dire qu'une attaque DoS est possible à contrer (en ayant des connaissances en sécu server) mais une attaque DDoS… vous ne pourrez rien faire.
Comment fonctionne une attaque DoS ou DDoS brièvement ?
C'est simple, des victimes (bots ; zombies) se voient ordonnées de lancer une requête en boucle sur l'adresse IP d'un serveur sur lequel est hébergé le site cible (ou même la pauvre box d'un particulier !) ; ce sont en général des sites bancaires ou de e-commerces qui sont visés afin de faire du chantage et récupérer de gros gains.
Les worms :
Les worms quant à eux se repodruisent dans votre ordinateur et s'auto-envoient à vos contacts qui font de même aux leur et ce, de façon exponentielle.
Comment un malware peut-il bypass un AV ?!!
C'est très simple. Il suffit de créer un tool, un crypter, qui brouille les données et les rendent indécelables à votre antivirus (grosso-modo). D'autres techniques consistent à modifier la signature hexadécimale du malware car ce sont grâce à quelques simples octets (signatures) que sont repérés les malwares qui ont déjà été détectés auparavant et été enregistrée dans la bdd (base de données) de l'éditeur de l'antivirus.
Note : il existe des autorun, rootkits et autres joyeusetés du style qui permettent, via une simple clé USB (ou autre périphérique externe) de contaminer tout un LAN (http://fr.wikipedia.org/wiki/Réseau_local) !
Comment se protéger face a ces malwares indétectables ?
Sandbox !
Vous devez installer sur votre ordinateur, une VM (machine virtuelle) telle que VMWare, VirtualBox, Parallels, etc.
Celle-ci vous permettra de télécharger sans craintes de vous faire infecter.
En effet, une machine virtuelle est comme une bulle dans une bulle. Si la petite bulle enfermée dans la grosse est infectée, on la delete, on en refait une (temps approximatif pour les habitués : 5mn). Inutile de prendre des OS (Operating Systems ; systèmes d'exploitations) trop gourmands en ressources, l'éternel Windows XP est parfait pour servir de sandbox. Notez que vous pouvez en avoir plusieurs (il m'est arrivé d'en avoir 5 + 2 OS sur mon simple laptop). Il suffit que vous aillez un minimum de RAM.
Ainsi, voic le schéma auquel procéder :
1. Vous avez votre OS principal, exemple : W7. Sur celui-ci, vous pouvez naviguer le coeur léger ! Mais… ne téléchargez rien, n'acceptez rien d'étranger (un simple doute devrait vous faire comprendre que vous ne devez pas exécuter le logiciel). Ne téléchargez que des logiciels open source, sur le site source ou achetez vos logiciels (si vous êtes généreux, pourquoi pas !). Vous n'avez en réalité aucun besoin d'antivirus, firewall, etc. Sachez qu'une étude a été faite et a révélée que 90% des ordinateurs étaient infectés ou l'on été. 98% sous Windows.
2. Dans la VM, vous pouvez agir comme sur votre OS principal ! Aucun problème ! Vous ne vous en servez que pour télécharger, cracker,… spreader… ! Je plaisante !). Bref, vous pouvez prendre tous les risques. N'ayez pas de données confidentielles, et ne rentrez rien comme info perso sur des form web. Jamais. Jamais !!! Sur cette VM, je vous convie à faire des back up régulières sur votre DDX (disque dur externe) ou clé USB pour des données que vous souhaitez garder, et installez un antivirus tel qu'Avira ou Kaspersky (TSF ! Tout Sauf Norton !!!). Vous allez me dire : mais pourquoi faire, puisque ça ne contamine pas la partie sensible de mon ordinateur (votre windows seven, pour la démo). Je vous répondrai, certes oui, vous pouvez ne rien mettre, cependant, par mesure de sécurité (si vous souhaitez extraire vos données vers votre DDX), mieux vaut être sûr que vous ne déplacez pas un malware ! Vous allez me dire, mais je n'en serai pas sûr ! Ce à quoi je vous répondrai, je vois que les bons réflexes arrivent, vous commencez à comprendre^^ Cependant, sous Windows, mieux vaut être préventif et faire gueuler un coup l'AV pour signaler à l'éditeur que ceci est un tool backdoored ; ils réajournent leur bdd, et vous en aidez plus d'un qui n'auront pas eu la chance de lire ce merveilleux tutoriel
3. Faites des back up régulières de vos données sur disque dur externe, et planquez vos infos sensibles sur celui-ci ou sur clé USB. Cependant attention ! Ne faites pas le processus stupide (et courant) habituel : VM > DDX > main OS. Autant vous le prendre directement dans ce cas ! Non non, toujours avoir une VM pour tout contenu "éventuellement" infecté. TOUJOURS !!! Vous pouvez avoir 2, 3, 4 VM ! Il suffit que les caractéristiques de votre ordinateur vous le permettent. Pour faire tourner un Windows seven en main OS (système d'exploitation principal) + 1 VM Ubuntu + 1 VM Debian + 1 VM XP, ça vous demandera environ 4Go de RAM pour les faire tous tourner en même temps (Seven + les 3 autres). Si vous avez une config pas top (un ordi de merde en d autres termes^^) prenez XP en main OS et une seule VM XP. Et vous êtes déjà tranquille !
Pour en revenir à windows… Pourquoi Windows est-il la cible des "hackers" ?
Tout simplement parce-que c'est le plus répandu (il occupe 80% du marché, bien que Mac grapille du terrain) et aussi… il faut bien le dire, le plus faillbile. Attention, ne vous dites pas que Linux ou Mac OS X, tous deux dérivés d'UNIX sont "infaillibles". Non. Infaillible n'est pas un mot figurant dans le dictionnaire du hacker. Tout est faillible. Absolument tout. Comme on le dit en programmation, plus un programme est long, plus il est RE (reverse-engineerinable ; en gros plus il est faillible). Simplement, étant donné qu'il y a énormément moins d'utilisateur sous UNIX que sous Windows, les "hackers" ciblent Windows (qui je le répète est assez… nfin bref^^). Ahhh, je ne vous cache pas que, si demain vous virez votre Seven (ou surtout votre Vista^^) pour un Debian ou un Ubuntu, vous allez naviguer l'esprit léger^^ Mais la plupart d'entre-vous ne sont pas prêts, ne veulent pas ou ne peuvent pas (monde pro) se passer de Windows. Ce que je concois parfaitement. Ainsi, je vous le répète une dernière fois : sandbox (VM) pour les DL (téléchargements) douteux, et main OS (système d'exploitation principal pour le reste, le taff, etc.
Cependant, les menaces ne s'arrêtent pas qu'au spreading !!!
Misère… le danger est partout ?!! eh oui !!! Les menaces pèsent aussi sur vous via d'autres techniques : le social engineering, ou encore ce que je qualifierai de "non-information" ou de "non-compréhension". Ceci fait partie de la faille humaine : Vous !
Les deux plus grands vecteurs exploités par les spreaders sont donc :
- les téléchargements illégaux ;
- la faille humaine.
Mais qu'est-ce que la faille humaine ?
La faille humaine, c'est bien évidemment vous ! Votre "degré de paranoïa" (et d'information) !!!
Exemple : le phishing.
Le phshing est à la porté de tout apprenti "hacker".
En gros, il vous fait croire que vous êtes sur une page, alors que vous êtes sur une autre. Ca vous paraît stupide ? Vous n'imaginez pas combien de gens tombent dans le panneau !
Le pharming, le tabjacking, le Javadriveby, etc, sont aussi des techniques utilisées vous faisant croire que vous visitez un site (ou une page simple) normale, mais elle ne l'est pas !
Observez les URLs !
Pour être sûr, ne passez pas par l'URL donné, mais par votre moteur de recherche (Google, Bing, etc.).
Vérifiez bien les URLs ! S'il n'est pas habituel, c'est probablement une tenative de phishing !
D'autres techinque existent, comme le pharming, le tabjacking, le Javadriveby, etc. Toutes sont plus ou moins pertinentes et susceptibles de vous faire croire que vous êtes bel et bien là où vous croyez être, mais vous n'y êtes pas ! Vous êtes justement à l'endroit précis où l'attaquant souhaite que vous soyez.
Demeurez vigilants, sans cesse. Les techniques de social engineering évoluent chaque jour, vous en trouverez quelques exemples sur ce forum, restez sur vos gardes !
J'espère que vous avez compris ce tutoriel, si ce n'est pas le cas, que certaines choses demeurent flouent, relisez-le, relisez-le encore, renseignez-vous sur le forum, renseignez-vous sur Google, et si besoin est, posez votre question à la suite de ce tutoriel, nous vous y répondrons.
Si vous avez compris ce tutoriel, que vous l'avez bien lu et assimilé, vous ne devriez plus avoir de problème !
Qu'est-ce que le "spreader" spread ? Un malware. Cela va de soi !
Un malware peut être :
- un RAT (http://en.wikipedia.org/wiki/Remote_Administration_Tool)
- un trojan (http://fr.wikipedia.org/wiki/Cheval_...(informatique))
- un virus (http://fr.wikipedia.org/wiki/Virus_informatique)
- un worm (http://en.wikipedia.org/wiki/Computer_worm)
- etc.
Pour ne pas vous noyer avec des termes techniques et d'explications trop poussées, je dirais simplement que, d'une manière générale, le RAT et le trojan sont les plus employés par les spreaders. Cependant les virus et pire encore, les worms sont aussi bel et bien présents sur la scène.
A quoi servent-ils, "en gros", du point de vue de l'attaquant ?
Evidemment, vous vous en doutez : le vol de vos données confidentielles. Mais ce n'est pas tout. Il peuvent aussi êtres utilisés à des fins de calculs (voir plus loin, botnet, DoS, DDoS) et de chantage.
Alors, commençons par le plus courant :
Le vol de données :
Sachez qu'en exécutant (en double-cliquant sur le logiciel (ou autre) d'apparence clean que l'attaquant vous a envoyé) le malware, des tâches de fonds s'exécuteront et s'installeront dans votre système (bien évidemment, dans au moins 90% des cas, il s'agit de Windows, mais ça aussi, j'en reparlerai plus loin) et se mettront en "écoute". Certains malwares donnent la main directement (l'accès total du contenu de votre ordinateur) à l'attaquant, certains nécessitent votre participation. En effet, ils enregistrent les keystrokes (frappes clavier) lorsque vous rentrez vos identifiants dans un form (un formulaire d'identification sur un site, un forum, un logiciel, etc). Tout cela est envoyé, en temps réel, à l'attaquant, qui reçoit vos données en laissant travail son malware dans votre ordinateur.
Ainsi donc, si vous vous connectez à votre compte en banque, à paypal, à ebay, à world of warcraft, à MSN ou à ce que vous voulez, vos données seront "écoutées" et envoyées à l'attaquant.
Qu'en fait l'attaquant ?
Soit il les utilise pour son compte propre (c'est très rare), soit il les revend par lot (c'est le plus courant). Les prix sont dérisoires pour le dommage possible infligé à la victime.
Petite grille tarifaire d'un shop (une boutique) :
1 compte megaupload premium 1 mois : 2€
1 compte megaupload premium 6 mois : 3€
1 compte megauplaod premium 1 an : 5€
1 compte megaupload premium à vie : 10€
idem pour filesonic, rapidshare, hotfile, fileserve, alldebrid, fastdebrid, realdebrid, megadebrid, etc.
25 comptes facebook : 2€
50 comptes facebook : 3€
100 comptes facebook : 5€
300 comptes facebook : 10 €
idem pour twitter, gmail, yahoo, msn, etc.
25 comptes wawa : 2€
50 comptes wawa : 3€
100 comptes wawa : 5€
300 comptes wawa : 10€
idem pour downparadise, torrent411, planete-lo lo, oleoo, etc.
10 comptes neuf : 2€
25 comptes neuf : 3€
50 comptes neuf : 5€
100 comptes neuf : 10€
idem pour sfr, orange, bouygues, free, etc.
5 comptes ebay : 2€
15 comptes ebay : 3€
30 comptes ebay : 5€
50 comptes ebay : 10€
idem pour amazon, priceminister, etc.
5 comptes WoW : 2€
15 comptes WoW : 3€
30 comptes WoW : 5€
50 comptes WoW : 10€
idem pour prizee, minecraft, ogame, battlefield, etc.
5 comptes FTP/admin web : 2€
15 comptes FTP/admin web : 3€
30 comptes FTP/admin web : 5€
50 comptes FTP/admin web : 10€
Des comptes brazzers, deezer, canalplus, fnac, cheat-games, alldebrid, cdiscount, tf1, m6, virginmega, jeux-videos, adopteunmec, moviz, viadeo, dropbox, nintendo, xbox, verygames, linkedin, ultravpn, grepolis, numericable, etc. sont aussi revendables.
Les comptes liés à des cartes bleues tels que Paypal, Western Union, etc, sont quant à eux vendus en général entre 2 et 5€.
Les cartes bleues volées directement sont quant à elles vendues en général :
5cc : 10€
10cc : 15€
50cc : 30€
100cc : 50€
Note : les prix peuvent fortement varier en fonction des stocks disponibles et des informations sur des comptes précis et aussi et surtout de la crédulité de l'acheteur.
Notez aussi que l'on vous revend. Oui, vous. Une fois que vous êtes contaminé, vous appartenez à l'attaquant. Vous êtes ce qu'on appelle un "zombie" (vous répondez aux ordres (votre ordinateur) qu'exécute l'attaquant). Vous êtes un "bot". Plusieurs bots (robots) constituent un botnet (encore une fois, nous en parlerons plus loin). Sachez qu'un bot est revendu en moyenne 10cent l'unité.
Revenons sur notre grille tarifaire, et à leur utilité pour le racheteur.
Les comptes megaupload, rapidshare, etc, c'est pour tout simplement ne pas payer l'abonnement, ou revendre le compte plus cher ailleurs, à quelqu'un d'autre. Idem pour les comptes sfr, neuf, etc. C'est pour se connecter gratuitement à des hotspots.
Les comptes de jeux tels que World of Warcraft, prizee, dofus, etc. servent soit à voler le compte poru compte propre si l'acheteur est un joueur, soit pour de la revente, soit pour du vandalisme gratuit.
Les comptes ebay, priceminister, etc, sont très importants. En effet, ils sont analysés un par un et revendus (en général) en fonction de leur caractéristiques. Si l'attaquant tombe sur un revendeur professionnel très bien coté, il va bien évidemment vendre plusieurs choses très cher et ne jamais envoyer le colis attendu et encaisser les gains. Ou il peut commander pour compte propre, et se faire livrer à un point relai.
Les comptes facebook, gmail sont fouillés, saccagés, ou autre, mais surtout, ils servent de vecteur de spreading. En effet, l'attaquant se place sur votre compte facebook et envoie à tout le monde un lien alléchant vers un logiciel à installer. Puisque l'info vient de vous, vos amis téléchargeront. Idem sur les chat tels que MSN ou même Skyrock ! Il n'est pas rare que de voir le compte d'une fille piraté, voire sa photo changer pour une fille très attirante, et aller spreader sur le chat ! C'est très courant.
Les accès aux sites internet servent à deux choses. La première est de vider les bases de données éventuelles pour spammer (spreader) tous les membres de la part de l'admin ou autre, ou encore voler des tables de CC ou autre, la seconde est d'effacer le contenu du site internet et d'y mettre une "déface" signée du nom de l'attaquant. L'administrateur web croit pouvoir rectifier le tir, et là encore, il se plante, a été uploadé un shell qui permet de garder le contrôle du site, et il n'en a aucune connaissance. Beaucoup de webmasters n'y connaissent strictement rien à la sécurité informatique, tout du moins de ce genre. Leurs clients demandent réparation, etc.
Et enfin, nous en venons à ce qui, à mon sens, ferme la boucle, et lui permet de continuer de tourner. Les sites de spread sont en général… les sites de warez ! Ainsi, les reventes de comptes t411, telechargementz, wawa, etc. servent à rediffuser le virus. Il suffit de tomber sur des comptes qui ont une bonne réputation et c'est le strike, tout le monde télécharge, et tout le monde se fait infecter.
Comment se compose un post d'un tool backdoored (un malware a l'apparence de logiciel sympatique, si vous voulez) à des fins de spread ?
Simple.
Pour commencer, le spreader n'a pas de temps à perdre. Il va sur des sites généraux, et copie des pans entiers de descriptions du tool, il met les balises de DL les plus alléchantes telles que [MULTI] ou [MU], il va uploader des images, vous détailler les caractéristiques, bref, vous faire un post de professionnel… qu'il aura entièrement copié collé ! Il crypte son server (son malware) via un crypter (pour le rendre indétectable aux AVs) puis le bind (fusionne le malware) avec le logiciel, le patch, le crack voire même tout autre type de fichier, et de surcoit utilise des tools comme des filepumper pour augmenter la taille (le poids) du malware (afin que son faible poids initial ne paraisse pas suspect) et il le spread sur le forum de paratage ou via chat, P2P ou autre. Ahh, le logiciel sera fonctionnel, oui (quoique parfois non, c'est fait "à l'arrache" et ça fait de la victime quand même… le malware étant spread tel quel (il ne fonctionnera pas chez vous) désolant^^), mais vous vous chopperez le malware ! De plus, s'il le fait depuis un compte spoof (volé, usurpé) qui a une bonne réputation, et qu'il est fait impeccablement… Tout le monde va se ruer dessus et dire merci !
Autres notion à savoir, les "team" de "hackers" se "plussoient" entre-eux, c'est-à-dire qu'ils ne vont pas télécharger/tester le logiciel que le spreader (leur complice) aura spreadé, mais il va dire "merci ! t'assures ! 100% fonctionnel", etc, de sorte à ce que les autres soient influencés par les commentaires. Ensuite, une fois le logiciel téléchargé 10, 20, 50 fois, un petit re up du topic par le spreader ou un complice, et c'est reparti pour un tour ! De plus, le spreader ne post pas plus de 5 tools backdoored par semaine (pour qu'il n'y ait pas "flood" et donc ne pas attirer l'attention des modérateurs sur eux ; ils disposent de centaines de comptes, donc ce n'est pas un souci pour eux).
Ici est le point crucial de ce "tutoriel" de compréhension des méthodes usitées par les spreaders.
En effet, si vous ne tombez pas dans les pièges des spreaders, vous ne vous ferez pas infecter, vous ne vous ferez donc pas voler, et, vous éviterez à votre entourage de ce faire contaminer à cause de vous (à votre insu bien sûr).
Sachez que le spreading est tout un art et que toutes les techniques les plus malignes sont exploitées. Que ce soit des "fake tools" comme : "téléchargez ce logiciel, regardez, il crack les mots de passe facebook en 5mn !" postés en vidéo de démo sur Youtube, Dailymotion ou autre, tout est bon pour vous faire prendre.
C'est pour cela qu'il faut que vous sachiez où se situent les risques.
Ne jamais exécuter un logiciel dont vous n'êtes pas sûr. Inutile de passer le malware au scan de type NVT (No Virus Thanks) ou autre scanner antivirus online, cela est vain. Les "servers" (les malwares) sont FUD (indétectables par les AVs (AntiVirus)) et ils bypasseront (esquiveront) tous vos systèmes de sécurité, que ce soit des antivirus, anti-spyware, firewall etc.
Non, ce qu'il faut c'est :
1. Etre au courant des techniques et ne pas tomber dans des panneaux grotesques ;
2. Utiliser des Machines virtuelles (nous allons voir cela par la suite) ;
3. Si vous êtes courageux : apprendre comment déceler un malware FUD (c'est pas à la portée de tout le monde).
Dans tous les cas, vous ne devez pas faire confiance à qui que ce soit ! Préférez télécharger des sources sûres, des tools open source, etc. si vous ne savez pas comment vous y prendre.
Revenons sur deux points.
Botnet :
A quoi sert un botnet ? A DoS (http://fr.wikipedia.org/wiki/Attaque...éni_de_service) ou encore DDoS (distributed denial of service attack) qui sont des attaques massives.
Je ne vais pas rentrer dans les détails sur "comment avoir une puissance de DDoS phénoménale" mais ceci est faisable avec peu de connaissances et avec peu de budget (avec 100€ vous faites tomber n'importe quel site sous serveur dédié, et ce, toute la journée).
Je ne vais pas tergiverser sur le sujet, je vais simplement vous dire qu'une attaque DoS est possible à contrer (en ayant des connaissances en sécu server) mais une attaque DDoS… vous ne pourrez rien faire.
Comment fonctionne une attaque DoS ou DDoS brièvement ?
C'est simple, des victimes (bots ; zombies) se voient ordonnées de lancer une requête en boucle sur l'adresse IP d'un serveur sur lequel est hébergé le site cible (ou même la pauvre box d'un particulier !) ; ce sont en général des sites bancaires ou de e-commerces qui sont visés afin de faire du chantage et récupérer de gros gains.
Les worms :
Les worms quant à eux se repodruisent dans votre ordinateur et s'auto-envoient à vos contacts qui font de même aux leur et ce, de façon exponentielle.
Comment un malware peut-il bypass un AV ?!!
C'est très simple. Il suffit de créer un tool, un crypter, qui brouille les données et les rendent indécelables à votre antivirus (grosso-modo). D'autres techniques consistent à modifier la signature hexadécimale du malware car ce sont grâce à quelques simples octets (signatures) que sont repérés les malwares qui ont déjà été détectés auparavant et été enregistrée dans la bdd (base de données) de l'éditeur de l'antivirus.
Note : il existe des autorun, rootkits et autres joyeusetés du style qui permettent, via une simple clé USB (ou autre périphérique externe) de contaminer tout un LAN (http://fr.wikipedia.org/wiki/Réseau_local) !
Comment se protéger face a ces malwares indétectables ?
Sandbox !
Vous devez installer sur votre ordinateur, une VM (machine virtuelle) telle que VMWare, VirtualBox, Parallels, etc.
Celle-ci vous permettra de télécharger sans craintes de vous faire infecter.
En effet, une machine virtuelle est comme une bulle dans une bulle. Si la petite bulle enfermée dans la grosse est infectée, on la delete, on en refait une (temps approximatif pour les habitués : 5mn). Inutile de prendre des OS (Operating Systems ; systèmes d'exploitations) trop gourmands en ressources, l'éternel Windows XP est parfait pour servir de sandbox. Notez que vous pouvez en avoir plusieurs (il m'est arrivé d'en avoir 5 + 2 OS sur mon simple laptop). Il suffit que vous aillez un minimum de RAM.
Ainsi, voic le schéma auquel procéder :
1. Vous avez votre OS principal, exemple : W7. Sur celui-ci, vous pouvez naviguer le coeur léger ! Mais… ne téléchargez rien, n'acceptez rien d'étranger (un simple doute devrait vous faire comprendre que vous ne devez pas exécuter le logiciel). Ne téléchargez que des logiciels open source, sur le site source ou achetez vos logiciels (si vous êtes généreux, pourquoi pas !). Vous n'avez en réalité aucun besoin d'antivirus, firewall, etc. Sachez qu'une étude a été faite et a révélée que 90% des ordinateurs étaient infectés ou l'on été. 98% sous Windows.
2. Dans la VM, vous pouvez agir comme sur votre OS principal ! Aucun problème ! Vous ne vous en servez que pour télécharger, cracker,… spreader… ! Je plaisante !). Bref, vous pouvez prendre tous les risques. N'ayez pas de données confidentielles, et ne rentrez rien comme info perso sur des form web. Jamais. Jamais !!! Sur cette VM, je vous convie à faire des back up régulières sur votre DDX (disque dur externe) ou clé USB pour des données que vous souhaitez garder, et installez un antivirus tel qu'Avira ou Kaspersky (TSF ! Tout Sauf Norton !!!). Vous allez me dire : mais pourquoi faire, puisque ça ne contamine pas la partie sensible de mon ordinateur (votre windows seven, pour la démo). Je vous répondrai, certes oui, vous pouvez ne rien mettre, cependant, par mesure de sécurité (si vous souhaitez extraire vos données vers votre DDX), mieux vaut être sûr que vous ne déplacez pas un malware ! Vous allez me dire, mais je n'en serai pas sûr ! Ce à quoi je vous répondrai, je vois que les bons réflexes arrivent, vous commencez à comprendre^^ Cependant, sous Windows, mieux vaut être préventif et faire gueuler un coup l'AV pour signaler à l'éditeur que ceci est un tool backdoored ; ils réajournent leur bdd, et vous en aidez plus d'un qui n'auront pas eu la chance de lire ce merveilleux tutoriel
3. Faites des back up régulières de vos données sur disque dur externe, et planquez vos infos sensibles sur celui-ci ou sur clé USB. Cependant attention ! Ne faites pas le processus stupide (et courant) habituel : VM > DDX > main OS. Autant vous le prendre directement dans ce cas ! Non non, toujours avoir une VM pour tout contenu "éventuellement" infecté. TOUJOURS !!! Vous pouvez avoir 2, 3, 4 VM ! Il suffit que les caractéristiques de votre ordinateur vous le permettent. Pour faire tourner un Windows seven en main OS (système d'exploitation principal) + 1 VM Ubuntu + 1 VM Debian + 1 VM XP, ça vous demandera environ 4Go de RAM pour les faire tous tourner en même temps (Seven + les 3 autres). Si vous avez une config pas top (un ordi de merde en d autres termes^^) prenez XP en main OS et une seule VM XP. Et vous êtes déjà tranquille !
Pour en revenir à windows… Pourquoi Windows est-il la cible des "hackers" ?
Tout simplement parce-que c'est le plus répandu (il occupe 80% du marché, bien que Mac grapille du terrain) et aussi… il faut bien le dire, le plus faillbile. Attention, ne vous dites pas que Linux ou Mac OS X, tous deux dérivés d'UNIX sont "infaillibles". Non. Infaillible n'est pas un mot figurant dans le dictionnaire du hacker. Tout est faillible. Absolument tout. Comme on le dit en programmation, plus un programme est long, plus il est RE (reverse-engineerinable ; en gros plus il est faillible). Simplement, étant donné qu'il y a énormément moins d'utilisateur sous UNIX que sous Windows, les "hackers" ciblent Windows (qui je le répète est assez… nfin bref^^). Ahhh, je ne vous cache pas que, si demain vous virez votre Seven (ou surtout votre Vista^^) pour un Debian ou un Ubuntu, vous allez naviguer l'esprit léger^^ Mais la plupart d'entre-vous ne sont pas prêts, ne veulent pas ou ne peuvent pas (monde pro) se passer de Windows. Ce que je concois parfaitement. Ainsi, je vous le répète une dernière fois : sandbox (VM) pour les DL (téléchargements) douteux, et main OS (système d'exploitation principal pour le reste, le taff, etc.
Cependant, les menaces ne s'arrêtent pas qu'au spreading !!!
Misère… le danger est partout ?!! eh oui !!! Les menaces pèsent aussi sur vous via d'autres techniques : le social engineering, ou encore ce que je qualifierai de "non-information" ou de "non-compréhension". Ceci fait partie de la faille humaine : Vous !
Les deux plus grands vecteurs exploités par les spreaders sont donc :
- les téléchargements illégaux ;
- la faille humaine.
Mais qu'est-ce que la faille humaine ?
La faille humaine, c'est bien évidemment vous ! Votre "degré de paranoïa" (et d'information) !!!
Exemple : le phishing.
Le phshing est à la porté de tout apprenti "hacker".
En gros, il vous fait croire que vous êtes sur une page, alors que vous êtes sur une autre. Ca vous paraît stupide ? Vous n'imaginez pas combien de gens tombent dans le panneau !
Le pharming, le tabjacking, le Javadriveby, etc, sont aussi des techniques utilisées vous faisant croire que vous visitez un site (ou une page simple) normale, mais elle ne l'est pas !
Observez les URLs !
Pour être sûr, ne passez pas par l'URL donné, mais par votre moteur de recherche (Google, Bing, etc.).
Vérifiez bien les URLs ! S'il n'est pas habituel, c'est probablement une tenative de phishing !
D'autres techinque existent, comme le pharming, le tabjacking, le Javadriveby, etc. Toutes sont plus ou moins pertinentes et susceptibles de vous faire croire que vous êtes bel et bien là où vous croyez être, mais vous n'y êtes pas ! Vous êtes justement à l'endroit précis où l'attaquant souhaite que vous soyez.
Demeurez vigilants, sans cesse. Les techniques de social engineering évoluent chaque jour, vous en trouverez quelques exemples sur ce forum, restez sur vos gardes !
J'espère que vous avez compris ce tutoriel, si ce n'est pas le cas, que certaines choses demeurent flouent, relisez-le, relisez-le encore, renseignez-vous sur le forum, renseignez-vous sur Google, et si besoin est, posez votre question à la suite de ce tutoriel, nous vous y répondrons.
Si vous avez compris ce tutoriel, que vous l'avez bien lu et assimilé, vous ne devriez plus avoir de problème !
Commentaire