Annonce

Réduire
Aucune annonce.

Les virus, ces incompris du Web2.0

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Les virus, ces incompris du Web2.0

    Les virus, ces incompris


    Je lisais des rapports de part et d'autre sur la cybercriminalité lorsque je me suis attardé sur les botnets (roBOT NETwork). Je me suis dit qu’il était temps de faire un constat moderne de ce virus du XXIe siècle.

    Dans le dernier Hackathon, il a été question de multiples sujets, mais une vision plus moderne des virus a été mise en avant. Ce rapport, je l’ai étudié et décortiqué afin d’en tirer des leçons claires et précises et de voir comment cette nouvelle menace atteint nos petites vies tranquilles derrière nos PC.

    Aujourd’hui, les botnets sont symptomatiques de l’évolution vers la criminalité informatique organisée. Ils permettent à leurs auteurs de réaliser des attaques qui leur sont bénéfiques d’un point de vue économique (vol d’identité, émission de spam, chantage) et politique (activisme). Pour mieux rentabiliser leurs affaires, les possesseurs de botnets peuvent aussi louer leurs services et leurs réseaux à d’autres individus malfaisants.

    Leurs actions sont multiples : servir de relais de spamming et/ou de phishing, identifier et infecter d’autres machines, participer à des attaques groupées (DDoS), être utilisées dans la diffusion de programmes indésirables, générer de façon abusive des clics sur un lien publicitaire au sein d’une page web (fraude au clic), capturer de l’information sur les machines compromises, effectuer des opérations de calcul distribué, servir à mener des opérations de commerce illicite par gestion de proxy d’accès à des sites de ventes de produits interdits ou de contrefaçons.
    Outre ces spécificités, la constatation de ses différents rapports m’a amené à reconsidérer la notion même de virus de nos jours, car ils se comportent comme des botnets. Ils ont les mêmes buts recevoir et transmettre des ordres venant du maître d’œuvre le pirate.

    On pourrait croire que le malware tel que l’on a connu tente à disparaître pour laisser sa place à une équipe plus moderne, plus proche d’un botnet.
    C’est indéniable qu’après le succès des bots, les virus en tous genres allaient suivre ce chemin. Pourquoi se contenter de peu quand on peut avoir le maximum ?

    Qu'est-ce qu'un malware?

    • Un malware est un programme qui a des intentions malveillantes
    • Un malware est un virus, un ver, un spyware, un botnet ...
    • Donner une définition mathématique est difficile

    Alors, comment ça marche?

    Cette question taraude tout le monde. C’est essentiellement grâce au social engineering qu’ils sont transmis. Tout comme la maladie éponyme, il y a un mode de transmission, une période d’incubation puis un mode de diffusion. La plupart du temps, un virus ne va pas infecter directement vos ordinateurs sans but, ils vont se dupliquer, chercher un endroit sûr pour se répliquer et définir la stratégie qui leur et assigner par leur marqueur code.

    Le code est la base de tout. Derrière chaque virus se cache donc un être humain qui a imaginé une manière offensive d’entrée et d’exploiter un système, il va alors créer des algorithmes capables de cette prouesse. Ensuite, il va choisir un codage approprié, pour la mémoire, il utilisera sans aucun doute le C ou C++ qui permet de travailler sur la pile mémoire, quoique des codes simples de python avec des modules appropriés permettent d’exploiter certaines factions de la mémoire.
    Stocker une donnée est indispensable pour la souveraineté du virus qui pourra compter sur cette allocation mémoire comme d’un levier afin de s’étendre au sein d’un système.

    Il ne peut pas le faire seul et la plupart du temps il demande de l’aide.
    Le botnet ne va pas travailler seul et il va faire appel à des amis. Dans un premier temps, un dropper va se charger de l’injection d’un Worms qui va se charger de préparer l’arrivée du botnet. Un peu comme si a baissé la vigilance des gardes pour l’intrusion du gros de la cohorte.

    On pourrait apparenter cela à un virus de Troie. Waledac utilise ce processus allègrement et sans vergogne.

    Le rôle du dropper est minimaliste, il va exploiter une faille, un exploit connu d’un élément du système qu’il utilisera pour ouvrir la brèche au Worm.
    Une fois le bot installé, il va utiliser des technologies de cryptage: AES et RSA (OpenSSL), puis envoyez des courriels, analyser les fichiers pour trouver des adresses e-mail et mots de passe, télécharger des fichiers binaires et ne pas oublier de se mettre à jour.

    En bref, le botnet va se construire dans le système.



    Fonctionnement de l’ensemble

    Une vue simplifié dont comment est composé le Worm a été instruit lors de l’Hackathon d’après les travaux de Kleen qui serait :

    Code:
    WormX(v,out)
    { info := extract(out);                extraire les info
    send(«badguy»,info);               envoyer à
    @bk := findAddress(out);        Trouver l’adresse courriel
    send(@bk,v);                             Envoyer Worm à @bk
    }
    Je passe outre les calculs qui n’auraient aucun intérêt et surtout seraient fastidieux à comprendre. On va directement prendre la solution de Kleene qui dit que tout virus Worm doit souscrire à cette vérité énoncée dans cette équation :

    Code:
    W(out) = WormX(W, out)
    Pour résumé ainsi, le virus de sortie est égal à la valeur d’un virus X compilé (WormX = comp(W)) qui va se reproduire et ainsi de suite. C’est le principe de la multiplication et diffusion.


    Comment communique-t-il avec le pirate ?

    La question souvent posée et j’ai un bot, mais même si j’ai réussi à infecter correctement un PC, comment procède-t-on pour communiquer avec lui ?

    L’IRC l’origine du botnet


    Il est clair que, lorsque l’on parle de bot difficile de faire l’impasse sur les canaux IRC. Les canaux de contrôle et de commande se font à l’intérieur de chenaux. Simple comme bonjour, le bot est codé pour entrer en contact via Internet sur le canal IRC type, il suffit à son propriétaire de se connecter au même salon de discussion (Channel) que les machines compromises pour leur donner ses instructions.

    Un des plus connus pour ces ravages Storm qui est exclusivement codé en python-2.6, le bot date de 2002 et a été modifié, en 2007, pour de nouveaux services. Il travaille avec Jabber comme en témoigne son fichier configuration :


    Code:
    # stOrm configuration
    {
    # Jabber account where stOrm will login
    'CONNECT_SERVER': 'server.tld',
    'PORT': 5222,
    'JID': '[email protected]',
    'PASSWORD': 'xxxxxXXXxxxxx',
    'RESOURCE': 'bot',
    
    # Chatroom nick
    'DEFAULT_NICK': 'stOrm-test',
    
    # Jabber accounts that will administrate stOrm
    'ADMINS': ['[email protected]','[email protected]'],
    'ADMIN_PASSWORD': 'verysecretcredential',
    Etc…
    
    }
    Voici une vidéo qui témoigne de son application en temps réel via le panneau admin.


    Le pire tout pire

    P2P est un peu le sacerdoce du pirate en tous genres, ce réseau de partage où transitent des PC open est un peu le supermarché ou libre-service de tout bon hacker en herbe.

    Le principe, le partage de fichiers libre par le biais d’un réseau décentralisé supporté par un système simple de Client/serveur qui peut même être supporté
    Le transfert se fait dans un seul sens du client vers le serveur. C’est un upload. Mais on peut faire l’inverse (download). Un serveur FTP, par exemple, prenez. Filezilla, il utilise ce principe.

    Par contre, le botnet dépendra d’un enregistrement DNS pour qu’il soit utilisable sinon il ne servira à rien.


    Phatbot est basé sur le P2P botnet est un descendant direct d’Agobot, mais rejoint les autres sources de code supplémentaire, le code a fait de ces fonctionnalités supplémentaires plus Phatbot diversifié aussi plus dangereux. La conception modulaire de la plus explicite et plus disponible pour lire pour apprendre, pour ne pas être utilisé à des fins illégales.

    HTITIPI Olé

    Le protocole http (80) est pour beaucoup de pirates un peu l’assurance non-retour. J'entends par là que lors des transmissions des instructions à vos bots en place dans les PC infectés, vous devrez avoir dans les cas ci-dessus des connexions permanentes, ce qui est un peu gênant et dangereux.

    Pour ne parler que d’un des plus connus le malware black Energy ddos bot v1.7 qui comme son nom l’indique est spécialisé pour le DDOS et exclusivement le DDOS. Il fonctionne en envoyant une requête post au bot master (vous) puis attend la réponse qui sera encodé en. Base64.

    Exemple :

    Code:
    HTTP/1.1 200 OK 
    Date: Tue, XX Sep 2007 08:30:13 GMT 
    Server: Apache/2.0.59 (Unix) FrontPage/5.0.2.2635 P
    HP/5.2.3 
    mod_ssl/2.0.59 OpenSSL/0.9.7e-p1 
    X-Powered-By: PHP/5.2.3 
    Content-Length: 80 
    Connection: close 
    Content-Type: text/html 
    MTA7MjAwMDsxMDswOzA7MzA7MTAwOzM7MjA7MTAwMDsyMDAwI3d
    haXQjMTAjeENSMl8yN 
    (...)
    La dernière ligne est l’instruction de commande du bot master.

    Ensuite, il ne communiquera plus jusqu’à nouvel ordre. Cela apporte une furtivité et une sûreté supplémentaire pour le master. Imaginons une attaque DDOS pour un site précis. On souhaite lancer nos bots qui sont au nombre de 100 (ou plus ou moins), il n'y a besoin que d’un ordre, le reste s’effectuera en automatique.
    Tandis que le serveur accumulera la charge derrière les experts devra identifier, isoler et bloquer les IP entrantes. Vous n’aurez nul besoin de participer au spectacle puisque vous n’êtes plus connecté à l’ensemble du réseau Zombie. Simple mais efficace.

    Il ne communiquera plus jusqu’à nouvel ordre. Cela apporte une furtivité et une sûreté supplémentaire pour le master. Imaginons une attaque DDOS pour un site précis. On souhaite lancer nos bots qui sont au nombre de 100 (ou plus ou moins), il n’y a besoin que d’un ordre, le reste s’effectuera en automatique

    Tandis que le serveur accumulera la charge derrière les experts devra identifier, isoler et bloquer les IP entrantes. Vous n’aurez nul besoin de participer au spectacle puisque vous n’êtes plus connecté à l’ensemble du réseau Zombie. Simple mais efficace.

    Certains grand bot masters accusent les plus de 3000 bots. Un terrain facile reste les pays pauvres émergents qui sont des proies faciles pour les pirates et qui au détour du site vitrine vont multiplier les bons moments.
    Un bon moment est celui où une victime ne se doute de rien et où l’arsenal est prêt, propre et FUD.

    Pour cela, les élites ne partagent ni leur renseignement, ni leurs codes, ni rien d'autre, car la confiance dans ce milieu est tablée à NULL.
    Pour bosser sur le http, le pirate préférera pirater un site lambda à partir d’une faille serveur puis y mettra ses fichiers bots. Pourquoi s’embêter ?

    Moderne vous avez dit moderne

    Oui je parlais de nouvelles techniques, http, P2P et IRC datant un peu les pirates sont friands de nouvelles approches délaissant les anciennes jugées parfois trop risqué ou trop utilisé donc trop surveillé.

    Le Web2.0 / AJAX

    Cette nouvelle technique utilise une recherche anodine sur le web pour identifier le centre de commande (utilisation d’un mot clé), puis exploite des messages Ajax pour communiquer (en passant par le port 80 HTTP). La dissimulation est ici optimale. Gozi semble être l’un des premiers botnet à utiliser cette technologie.

    Quels sont leurs intentions ?

    Le chantage, essentiellement de grosse entreprise ou de particulier ciblé. Mais généralement l’attaque concerne de grosses filiales en ligne comme des banques, assurance, pari en ligne,…

    Par exemple en période de fêtes les pirates s’attaquent aux sociétés de jouets afin de les intimider et leur demander de l’argent contre la tranquillité. Imaginez le 24 et le 25 décembre votre site de jouet bloquer, aucun membre ne pouvant passer de commande la perte ne serait conséquent.

    Location ou vente a des scripts kid des ou des malfaiteurs n’ayant pas de connaissance poussée en piratage est une ressource de revenus pour les bots masters.
    On appelle ce type de transaction le MaaS (Malware a à Service).

    Il y a aussi le cyber espionnage pour un état, une société ou son propre compte personnel dans_le_dessein_de revendre les informations aux concurrents. Le spam à des fins malhonnêtes ou pas. Par exemple dans le cadre de Lead-gen.

    Puis cela peut prendre des allures de manipulation sur le réseau, de publicité frauduleuse de type adwares, le CtoC.

    Ou des allures d’hactivisme exacerbé à l’Anonymus, avec des faits d’éclats DDOS afin de dénoncer un acte jugé indigne pour la société. Derrière tout ce fracas se cachent juste des idéaux de grandeur, un peu comme les Illuminati et leur théorie du complot, un peu à la MagiCJack qui pense être l’emblème de la rédemption humaine face à ces péchés.

    Des pantonymes qui malheureusement grattent inexorablement la face cachée de ce qui se trame derrière tout cela, la lutte des pouvoirs et du pouvoir Internet.
    Je ne lancerai pas de débat là-dessus, car cela entacherait mon article.


    Mais comment déposer nos botnets ?


    Un arsenal, c’est bien mais pour s’en servir, il faut des techniques éprouvées depuis longtemps maintenant. Par exemple, comme je disais au début le Social Engineering par le biais du mailing permet de faire des dégâts à longue portée. Comment ? Récolté des Mails tout simplement. À une époque, on passait notre temps à cela, récolté des MAILS.

    Toutes les failles sont bonnes à être exploitées pour dumper une BDD. La discrétion est de rigueur, car on ne veut pas que les membres soient informés.

    Je pirate le site Assurance pour la vie.com, je trouve une faille include ou autres, j’y introduis un Access libre (backdoor) , je monte mes privilèges , je récupère la BDD.

    Ensuite, je décortique en récupérant les mails, à l’aide de scripts qui vont les extraire sur un fichier texte de mon local host. Pas besoin de déchiffrer les MDP, on veut les mails point barre. On va ensuite envoyer des mails contenant des fichiers joints infectaient, inclus dans un PDF ou un DOCX et ont attend.500 mails, il aura au moins 20% de perte, on a infecté seulement 100 PC pas grave, on analyse et on fera mieux avec le prochain. Si le site est intéressant et présente des aptitudes pour notre bot, on utilise notre backdoor pour lui envoyer nos fichiers bots master, tant qu’à faire !

    Mais comment est ce possible ?

    Simplement, la prétention de l’être humain à se croire au-dessus des autres et ne jamais se remettre en question.

    Et avant tout le réseau tentaculaire qui se doit de laisser passer les informations. La moindre faille est exploitable, il suffit de chercher jusqu'à trouver où et comment outrepasser les droits et mettre en place son bot.

    Un jour, un gars sur un site disait que son site était All Protect, qu’il faisait des études d’ingénierie informatique, blablabla,…
    Le pote qui lui n’avait que 14ans a dit moi j’hack no soucie. Vas-y, après un peu de recherche le type disait vrai, il était vraiment ce qu’il prétendrait être.
    Au moment de mettre en place la stratégie, il m’appelle et me dit regarder mes courriels. Grosse surprise, le serveur où était posé son site avait une faille béante CGI. En quelques minutes, le pote était root serveur.
    Il avait accès au site du gars mais aussi au 300 autres qui étaient dessus. Vous voyez on peut se barder de diplômes, de connaissances et même de l’expérience que l’on veut, un gamin qui touche sa bille en piratage terrain et en PHP peut rapidement faire pencher la balance.
    A partir de là, il a que le choix pour placer ses fichiers tranquillement à la barbe et au nez de dizaines de spécialistes sécurité, admin et Cie.
    Alors comment s’en défendre

    Devant des produits réalisés par des maîtres, c’est difficile, car les signatures ne sont pas connues et n’ont pas été révélées, de ce fait, on peut être infecté des mois voire des années sans le savoir. Il suffit à ce pirate d’être discret, de ne pas dévoiler ses codes, ni partager et encore moins faire des erreurs (mises à jour).
    Vous l’aurez compris les meilleurs, ne partage ni de dévoilent leurs propres codes, exploits ni techniques. Car trop de novices vont se ruer à corps perdu afin d’utiliser le fruit de son travail et, de ce fait, vont tout détruire en quelques jours.

    C’est pour cela que le marché de l’exploit compte souvent des tarifs exorbitants pour impliquer l’acheteur dans la conservation de l’exploit. Vous n’aurez pas la même considération pour un code gratuit qu’un code payant surtout à 5000$ ou plus.

    Devant des produits réalisés par des bons codeurs, c’est difficile, car les signatures ne sont pas connues et n’ont pas été révélées, de ce fait, on peut être infecté des mois voire des années sans le savoir. Il suffit à ce pirate d’être discret, de ne pas dévoiler ses codes, ni partager et encore moins faire des erreurs (mises à jour).

    Vous l’aurez compris les meilleurs, ni ne partagent, ni de dévoilent leurs propres codes, exploits et techniques. Car trop de novices vont se ruer à corps perdu afin d’utiliser le fruit de leur travail et, de ce fait, vont tout détruire en quelques jours.

    Là aussi, vous l’aurez compris, pour être dans l’élite faut soit être d’une formation poussé dans la plupart des systèmes et langages soit être blindé de tunes.


    Détection de logiciels malveillants par balayage de chaîne.

    Les inconvénients

    • Les systèmes de fichiers sont mis à jour, le changement des empreintes digitales de façon numérique
    • Difficile le principe dans la pratique
    • Les fichiers peuvent changer avec la même empreinte numérique (en raison de hachage FCT)

    Dernièrement un membre se demandait ce que signifier l’empreinte ou signature virale, ce n’est que l’expression régulière désignant une séquence d'octets.

    • Identifier un fichier en utilisant une fonction de hachage reste la base pour un spécialiste de sécurité informatique.
    • Détection de comportement du programme à partir de traces d'exécution
    Fonctionnalités sont exprimés à un niveau élevé
    • Analyse l’interaction de programme de surveillance (appels Sys, les appels de réseau, ...)



    Des fuites d'informations peuvent être détectées
    Les inconvénients
    :


    • L’analyse comportementale implique de surveiller tous processus, ou exécuter des programmes dans les bacs à sable.
    • Il ralentit le système

    Ensuite, la détection sur les canaux IRC frauduleux permet d’éliminer la connection, mais aussi dans le cas d’http supprimer la résolution DNS.

    Techniques utilisés pour se prémunir de la défense :

    1. Obfuscation
    2. Cryptographie
    3. Auto-modification
    4. Trucs et astuces ANTI-analyse

    Voyons ensemble en quoi consistent ces étapes essentielles à l’élaboration d’une bonne attaque. Connaître les moyens et outils utilisés permet toujours une meilleure défense. J’exhorte la plupart des apprentis sécurité à prendre en compte les étapes, en suivant des schémas et des tableaux préétablis qui sera à coup sûr la rançon du succès.
    Un bot est intelligent, il peut, avoir des instructions qui lui commandent de mieux se cacher en cas de détection, de ne pas s’exécuter sur un Sand box, …
    1 obfuscation

    Cette technique tente de cacher la nature ou les futures intentions du virus. Pour cela, ils utilisent des programmes dénommés Packers qui modifient les données binaires d'origine, et de le restaurer (plus ou moins) avant l'exécution. Difficile alors de retrouver les fragments de codes qui ont été maquillés, d'autant plus qu’il est en langage machine.

    Il existe beaucoup de méthodes et donc cela serait difficile de parler de tous ici.

    2 Cryptographie

    Les codes principaux vont être crypté afin qu’ils ne soient pas compris en cas de décode. Par exemple, les passwords, message le nom du dropper va être crypté pour éviter la fuite.

    3 Auto-modification

    On considère le code comme polymorphique ou métamorphisme, il va autogénéré de nouvelles instructions ou au contraire en raccourcir d’autres, ainsi il va se modifier continuellement en cours d’exécution afin de s’adapter aux applications présentes.

    Si le polymorphisme crypte les données sensibles lors de sa mutation, le métamorphisme a cet intérêt qu’il transforme, le code sensible à rendre presque impossible à comprendre par un humain.

    Les programmeurs de virus utilisent lors de la conception l’un de ces deux moteurs suivant les capacités en vouloir. Si l’un cache simplement, l’autre modifie sans arrêt le code d’origine de telle façon qu’il doit aussi prévoir de réparer les blocs de code ainsi modifié afin que le virus reste opérationnel.

    De ce fait, un bon programmeur saura gérer le moteur métamorphique afin de ne pas gêner la multiplication générique du virus et surtout son efficacité optimale.

    4 Anti-analyse

    Il est bien connu qu'une grande quantité d'échantillons de logiciels malveillants sont conscients de l'environnement d'exécution. Cela signifie qu'un malware peut changer son comportement si elle détecte que l'environnement d'exécution est indésirable.

    Aucun auteur de malware ne veut qu'un analyste fouine leur code, de sorte qu'ils emploient des astuces pour inhiber l'analyse.

    Pafish est un outil de démonstration qui emploie plusieurs techniques pour détecter les bacs à sable et des environnements d'analyse de la même manière que les familles de logiciels malveillants font.

    Difficulté à analyser un code

    Il est difficile d’analyser un code, premièrement cela demande d’avoir de bonnes connaissances en assembleur et langage informatique et, d'autre part, le code étant partiellement encodé, cela rend l’exercice plutôt compliqué, voire quasi-impossible.

    Voici deux très bons désassembleurs utilisés fréquemment.

    1. Ollydbg
    2. IDA Pro

    EXEMPLE

    Cet exemple liste les commandes du bot Agobot reçues en réponse à la commande IRC :

    Code:
    Commands. list
    : 
    [14:40] <pirate> .commands.list 
    [14:40] <Ago-dktj> -[ command list ]- 
    [14:40] <Ago-dktj> 1. / "commands.list" / "Lists al
    l available commands" 
    [14:40] <Ago-dktj> 2. / "cvar.list" / "prints a lis
    t of all cvars" 
    [14:40] <Ago-dktj> 3. / "cvar.get" / "gets the cont
    ent of a cvar" 
    [14:40] <Ago-dktj> 4. / "cvar.set" / "sets the cont
    ent of a cvar" 
    [14:40] <Ago-dktj> 5. / "cvar.loadconfig" / "loads 
    config from a file" 
    [14:40] <Ago-dktj> 6. / "cvar.saveconfig" / "saves 
    config to a file" 
    [14:40] <Ago-dktj> 7. / "mac.logout" / "logs the us
    er out" 
    [14:40] <Ago-dktj> 8. / "login" / "logs the user in
    " 
    [14:40] <Ago-dktj> 9. / "bot.about" / "displays the
    info the author wants you to see" 
    [14:40] <Ago-dktj> 10. / "bot.die" / "terminates th
    e bot" 
    [14:41] <Ago-dktj> 11. / "bot.dns" / "resolves ip/h
    ostname by dns" 
    [14:41] <Ago-dktj> 12. / "bot.execute" / "makes the
    bot execute a .exe" 
    [14:41] <Ago-dktj> 13. / "bot.id" / "displays the i
    d of the current code" 
    [14:41] <Ago-dktj> 14. / "bot.nick" / "changes the 
    nickname of the bot" 
    [14:41] <Ago-dktj> 15. / "bot.open" / "opens a file
    (whatever)" 
    [14:41] <Ago-dktj> 16. / "bot.remove" / "removes th
    e bot" 
    [14:41] <Ago-dktj> 17. / "bot.removeallbut" / "remo
    ves the bot if id does not match" 
    [14:41] <Ago-dktj> 18. / "bot.rndnick" / "makes the
    bot generate a new random nick" 
    [14:41] <Ago-dktj> 19. / "bot.status" / "gives stat
    us" 
    [14:41] <Ago-dktj> 20. / "bot.sysinfo" / "displays 
    the system info" 
    [14:41] <Ago-dktj> 21. / "bot.longuptime" / "If upt
    ime > 7 days then bot will respond" 
    [14:41] <Ago-dktj> 22. / "bot.quit" / "quits the bo
    t" 
    [14:41] <Ago-dktj> 23. / "bot.flushdns" / "flushes 
    the bots dns cache" 
    [14:41] <Ago-dktj> 24. / "bot.secure" / "delete sha
    res / disable dcom" 
    [14:41] <Ago-dktj> 25. / "irc.disconnect" / "discon
    nects the bot from irc" 
    [14:41] <Ago-dktj> 26. / "irc.action" / "lets the b
    ot perform an action" 
    [14:41] <Ago-dktj> 27. / "irc.getedu" / "prints net
    info when the bot is .edu" 
    [14:41] <Ago-dktj> 28. / "irc.gethost" / "prints ne
    tinfo when host matches" 
    [14:41] <Ago-dktj> 29. / "irc.join" / "makes the bo
    t join a channel" 
    [14:41] <Ago-dktj> 30. / "irc.mode" / "lets the bot
    perform a mode change" 
    [14:41] <Ago-dktj> 31. / "irc.netinfo" / "prints ne
    tinfo" 
    [14:41] <Ago-dktj> 32. / "irc.part" / "makes the bo
    t part a channel" 
    [14:41] <Ago-dktj> 33. / "irc.privmsg" / "sends a p
    rivmsg" 
    [14:41] <Ago-dktj> 34. / "irc.quit" / "quits the bo
    t" 
    [14:41] <Ago-dktj> 35. / "irc.raw" / "sends a raw m
    essage to the irc server" 
    [14:41] <Ago-dktj> 36. / "irc.reconnect" / "reconne
    cts to the server" 
    [14:41] <Ago-dktj> 37. / "irc.server" / "changes th
    e server the bot connects to" 
    [14:41] <Ago-dktj> 38. / "http.download" / "downloa
    ds a file from http" 
    [14:41] <Ago-dktj> 39. / "http.execute" / "updates 
    the bot from a http url" 
    [14:41] <Ago-dktj> 40. / "http.update" / "executes 
    a file from a http url" 
    [14:42] <Ago-dktj> 41. / "http.visit" / "visits an 
    url with a specified referrer" 
    [14:42] <Ago-dktj> 42. / "ftp.download" / "download
    s a file from ftp" 
    [14:42] <Ago-dktj> 43. / "ftp.execute" / "updates t
    he bot from a ftp url" 
    [14:42] <Ago-dktj> 44. / "ftp.update" / "executes a
    file from a ftp url" 
    [14:42] <Ago-dktj> 45. / "scan.netbios" / "scans we
    ak netbios passwords" 
    [14:42] <Ago-dktj> 46. / "scan.locator" / "scans fo
    r locator exploit" 
    [14:42] <Ago-dktj> 47. / "scan.dcom" / "scans for d
    com exploit" 
    [14:42] <Ago-dktj> 48. / "scan.dcom2" / "scans for 
    dcom2 exploit" 
    [14:42] <Ago-dktj> 49. / "scan.webdav" / "scans for
    iis/webdav exploit" 
    [14:42] <Ago-dktj> 50. / "scan.stop" / "stops all s
    cans running asap" 
    [14:42] <Ago-dktj> 51. / "ddos.pingflood" / "starts
    a Ping flood" 
    [14:42] <Ago-dktj> 52. / "ddos.udpflood" / "starts 
    an UDP flood" 
    [14:42] <Ago-dktj> 53. / "ddos.spudpflood" / "start
    s a spoofed UDP flood" 
    [14:42] <Ago-dktj> 54. / "ddos.synflood" / "starts 
    a spoofed SYN flood" 
    [14:42] <Ago-dktj> 55. / "ddos.httpflood" 
    / "starts a HTTP flood, can also be used as .visit 
    replacement" 
    [14:42] <Ago-dktj> 56. / "ddos.stop" / "stops all d
    doses running" 
    [14:42] <Ago-dktj> 57. / "redirect.tcp" / "starts a
    tcp port redirect" 
    [14:42] <Ago-dktj> 58. / "redirect.gre" / "starts a
    gre redirect" 
    [14:42] <Ago-dktj> 59. / "redirect.http" / "starts 
    a http proxy" 
    [14:42] <Ago-dktj> 60. / "redirect.socks" / "starts
    a socks4 proxy" 
    [14:42] <Ago-dktj> 61. / "redirect.stop" / "stops a
    ll redirects running" 
    [14:42] <Ago-dktj> 62. / "cdkey.get" / "makes the b
    ot get a list of cdkeys" 
    [14:42] <Ago-dktj> 63. / "rsl.reboot" / "reboots th
    e computer" 
    [14:42] <Ago-dktj> 64. / "rsl.shutdown" / "shuts th
    e computer down" 
    [14:42] <Ago-dktj> 65. / "rsl.logoff" / "logs the u
    ser off"
    Comment se battre contre les bots ?

    Bonne compréhension des mécanismes d'un botnet (reverse engineering), informer le public, surveiller le trafic des canaux IRC, repérer dans les noeuds réseaux les empreintes (hash) des bots connus, pratiquer une sécurité renforcée de vos PC.

    Pour cela, je pense que l’information est importante, il ne faut pas avoir peur de parler. Bot car l’on pense à mal, mais au contraire partager les expériences afin de se forger une solide connaissance du milieu pour mieux se prémunir.

    Conclusion

    J’espère que cet article vous aura plu, si c’est, le cas laissez un commentaire afin d’exposer aussi vos expériences. Actuellement, je bosse avec mes amis sur un projet de Bot sur twitter, beaucoup de bugs et de soucis techniques encore. Le tout est codé python pour le noyau. Je n’en dirai pas plus et bien entendu ne partagerais rien puisque c’est notre projet.

    Mais vous voyez, vous pouvez vous-même ouvrir un projet bot et sans nécessairement vouloir infecter un autre Pc, le faire sous VM.


    Référence :

    https://www.botnets.fr/wiki/Gozi
    https://en.wikibooks.org/wiki/The_Wo...ocols/Gnutella
    http://www.numerama.com/telecharger/gnutella
    http://sourceforge.net/projects/gtk-gnutella/
    https://fr.wikipedia.org/wiki/G%C3%A...ation_de_leads
    https://en.wikipedia.org/wiki/Fast_flux
    https://fr.wikipedia.org/wiki/Code_i...9n%C3%A9trable
    https://www.botnets.fr/wiki/Agobot
    https://github.com/a0rtega/pafish
    Dernière modification par DreAmuS, 03 février 2016, 19h20.

  • #2
    Merci Dreamus , c'est grâce au botnets que les cybercriminels arrivent à lancer des grosses attaques DDos de grande ampleure .Surtout sur le deepweb , vous pouvez acheter un botnet à petit prix , ou louer des bots . Je fais cet rappel en cas ou certains croient encore que une telle attaque est possible grâce à un script telle que Slowloris ou un Booter :P
    Plus tu persévereras , plus tu t'amélioreras

    Commentaire


    • #3
      Merci de ton intervention, il est bien de rappeller que la revente de botnet a plus que quintupler en 10 ans au détriment des petits programmes basique. Pourquoi ? Même des débutants avec peu de connaissance peuvent mettre en place ce type de programme de nos jours. Sur les forums blacks, ils veulent tous faire du bot !!

      Commentaire


      • #4
        Le botnet le moins cher que j'ai pu voir est Aldibot , 5 € sur le deepweb et tres simple a prendre en main
        Plus tu persévereras , plus tu t'amélioreras

        Commentaire


        • #5
          Le bot en lui même n'est pas difficile à construire, c'est le noyau, le moteur de travail qui va donner en efficacité et le worm qui sera introduit. Beaucoup réutilise des existants, cela permet de retrouver des fragments de hash lors des utilisations.

          Par contre, certains qui code vraiment bien dans de multiples langages, montent des bots de nature à l'espionnage industrielle, un peu comme la dernière team qui a fait la une sur le net.

          Heureusement, que certaines bonns habitudes permettent de se prémunir de ces attaques. L'essentiel étant d'en comprendre le fonctionnement pour mieux maîtrisé l'attaque et se défendr.

          Commentaire

          Chargement...
          X