fév
02

Conficker v/s Hydraq

Laurent Non classé Ajouter un commentaire
 

Joyeux anniversaire Conficker ! Enfin, si l’on peut dire, car c’était bien en janvier 2009 que le « phénomène » commençait à prendre de l’ampleur. Une année plus tard, c’est « Hydraq » qui défraye la chronique. Même si entre temps d’autres programmes malveillants ont fait parler d’eux, les caractéristiques globales de Conficker et Hydraq sont intéressantes à confronter, car finalement très différentes.

Ceci reste une vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.

CONFICKER

HYDRAQ
Type de Maliciel    (caractéristiques majeures) Ver Conficker se distingue principalement par ses capacités de propagations variées. Porte dérobée L’essentiel de Hydraq se concentre vers les fonctions de contrôle à distance.
Vecteur d’infection Multiple, auto-propagation Vulnérabilité systèmePartages réseauP2P Simple Vulnérabilité  navigateur
Vulnérabilité ciblée                              Bulletin de sécurité MS CVE-2008-4250 MS08-67 CVE-2010-0249 MS10-02
Vulnérabilité « Zéro Day » NON La vulnérabilité a été révélée conjointement à la mise à disposition d’un correctif OUI Diffusion du correctif une semaine environ après la découverte de la vulnérabilité
Command & Control Complexe Communication vers de multiples domaines créés de manière aléatoire, parallèlement au P2P. Simple Un seul domaine codé « en dur », rapidement identifié et fermé.
Diffusion Large Conficker s’est rapidement propagé sur des millions de machines, et reste actif à ce jour. Réduite Hydraq est utilisé pour des attaques très ciblées et de ce fait très peu répandu, pour l’instant.
Systèmes de défense Considérable Conficker embarque de nombreuses techniques pour se protéger Faible Utilisation de la technique du « code spaghetti »
Système de mise à jour Intégré Le système de mise à jour est très sophistiqué et automatisé. Manuel La mise à jour est théoriquement possible mais non automatique.
Variantes Plusieurs 3 variantes majeures (A,B,C) puis d’autres mineures Non-significatif Quelques infimes variations du code.
Fonctionnalités Pauvres Conficker se comporte plus comme une plateforme de téléchargement ouverte à d’autres activités malveillantes (BotNet, Facticiels…), voire à la location. Riches Les options disponibles dans Hydraq autour de la prise de contrôle à distance sont puissantes, avec notamment la possibilité de « voir » la machine infectée via des outils de type VNC.
Motivation principale Profits financiers Approche cybercriminelle « classique » qui cherche des profits rapides. Vol d’information Un « retour sur investissement » à plus long terme, en fonction des informations dérobées.
Détection Facile Facile
Suppression Complexe A cause des mécanismes d’auto-défense et des ré-infections successives au sein d’un réseau local Aisée Aucune technique de camouflage
Mesures de protection Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération.

Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.

Voici d’ailleurs une vidéo très explicite :

Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.

Conficker/Downadup :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf

Hydraq :

http://www.symantec.com/connect/blogs/trojanhydraq-incident

http://www.symantec.com/connect/blogs/hydraq-vnc-connection

PS : un grand MERCI à Nicolas pour son aide !

,
fév
01

iPad’raisons de rater ça !!!

Laurent Non classé Ajouter un commentaire
 

D’accord, un poil limite.. :-/

Mais il est évident qu’un tel lancement planétaire ne sera pas ignoré par les cyber-vilains. Comme déjà évoqué précédement, l’actualité reste la source privilégiée d’inspirations pour les arnaqueurs du net. Certains sites étant même très utiles en la matière : la page d’accueil de Twitter présente par exemple et en permanence les sujets les plus traités par la communauté.

On constate généralement 4 catégories :

  1. L’actualité (M.Jackson, grippe H1N1, Haïti, L’iPad…)
  2. Les grands évènements (Elections US, JO de Vancouver, Coupe du monde de foot…à noter le site 2010NetThreat traite ce précisément du sujet )
  3. Les « marronniers » comme on dit dans la presse pour les évènements récurrents (Voeux, soldes, Saint Valentin…)
  4. ou même des fausses informations si l’actu est pauvre…

 Attendons-nous donc aux arnaques en tout genre autour du bidule d’Apple :

  • Spam et phishing via des site proposant des « pré-commandes » 
  • Informations sur l’objet dans des documents infectés
  • Vidéos bidons, dont bien entendu le bon « codec » doit être téléchargé
  • ou encore l’affichage en « tête de gondole » (SEO poisonning) des moteurs de recherches, des sites « soi-disant » à fond sur le sujet, mais qui, dès le premier clic, trouve votre machine infectée ! Heureusement, on propose de règler le problème grâce à l’acquisition d’un anti-saleté spécifique (voir Facticiels)…

A bon entendeur…

,
jan
21

And the winner is…..NORTON 2010 !

Laurent Non classé 1 commentaire
 

…TOP OF THE LIST, KING OF THE HILL, A NUMBER ONE !

Voilà, c’est fait, AV-COMPARATIVE, testeur indépendant d’anti-virus, dévoile la liste des meilleurs produits 2009.

« And the oscar goes to » : Symantec, avec Norton Internet Security 2010 !

Et donc, voici le palmarès 2009 :

  1. GOLDNorton

  2. Silver : Kaspersky

  3. Bronze : Eset

Tout les détails sont là : http://www.av-comparatives.org/images/stories/test/summary/summary2009.pdf

Et pour :

  • les sceptiques, les grincheux…
  • les envieux, les jaloux, les mal-lunés, les trolls des cavernes…
  • ceux qui n’ont pas testé Norton depuis 3 ans
  • ceux qui n’aiment pas les premiers par ce qu’ils sont premiers
  • ceux qui pensent toujours que « c’est-nous-qu’on-fait-les-virus »
  • …j’en passe et des meilleurs…enfin, meilleurs….

Voici les résultats des 6 éditions précédentes :

  • 2009 : Symantec
  • 2008 : Avira
  • 2007 : Eset
  • 2006 : Eset
  • 2005 : Kaspersky
  • 2004 : Kaspersky

Je rappelle à toutes fins utiles qu’AV-COMPARATIVE, est membre de l’AMTSO  (Anti-Malware Testing Standards Organisation), du sérieux en somme.

Pourvou qué sa doure !!!

Laetitia Ramolino (Maman de Napoléon Bonaparte)

, ,
jan
18

Arnaques et Haïti, un exemple parmi tant d’autres…

Laurent Non classé 2 commentaires
 

Deux copies d’écrans histoire d’illustrer les risques à cliquer sur des sites infectés par des cyber-pourris, qui essayent de tirer partie du malheur Haïtien en piègant les e-donnateurs potentiels.

Dans ce cas, ce n’est pas le détournement de don qui est visé, mais bien l’installation d’un facticiel sur la machine de l’internaute.

1) La recherche :

 

2) si l’on clique sur le lien indiqué ci-dessus, voici ce mon Norton Internet Security 2010 me dit :

Pour l’anecdote, l’attaque vient de Jamaïque, bien que je doute fortement que l’impétrant soit Jamaïcain.

ATTENTION, ces exercices sont réalisés par des professionnels, ne pas les reproduire à la maison !!!

, ,
jan
16

Oh ! trop mortel ! un accès Wifi gratuit !!!

Laurent Non classé Ajouter un commentaire
 

Certainement pas « mortel »….. mais potentiellement risqué !

Une étude publiée récement par Wefi sur les 48 millions de hotspots identifiés par eux mondialement, montre que 40% sont accessibles sans mots de passe aux Etats-Unis, contre 25% en moyenne en europe, 30% en France et jusqu’à 35% en Belgique.

C’est certainement le moment de rappeler fermement que les hotspots « ouverts » sont par définition suspects, et qu’il pourrait être risqué de les utiliser pour procéder des opérations divulgant des informations confidentielles (achat ou vente en ligne, e-banking ou même e-mail, notamment en POP3, genre Outlook Express). En effet, tout ce que l’on tape, envoie ou reçoit peut être enregistré, car en clair, si point de SSL activé ou de VPN.

A la pelleteuse (!), ce doux concept peut se résumer principalement en deux parfums :

1) Le « ROGUE ACCESS POINT«   : Le piratage du point d’accès proprement dit, via des outils disponibles (tutoriels compris) sur certains sites spécialisés, très faciles à trouver, et dont le principe est de rediriger toutes les communications à destination d’un point d’accès valide, vers un point d’accès malveillant.

2) Le « FAKE ACCESS POINT » : La création pure et simple d’un « vrai-faux » point d’accès « gratuit » (basé sur des produits également disponibles à la vente) lui-même connecté à internet, mais attirant ainsi les internautes vers une connexion complétement tracée, enregistrée, surveillée…..

En tout état de cause, et sans tomber dans la paranoïa, la vigilance reste, comme toujours, notre meilleure alliée.

Sur internet, quand c’est trop beau pour être vrai…..c’est le cas.

Moi.

jan
15

Les spammeurs sont sans scrupules…et sans surprises.

Laurent Non classé 1 commentaire
 

On s’y attendait, déjà les campagnes de spams, faux sites, référencements douteux…fleurissent après le désastre en Haïti. Eviter soigneusement ces sollicitations et rendez-vous directement sur les sites des ONG…

Quelques exemples :

, ,
jan
13

Concours : un clavier de « gamer » à gagner !

Laurent Non classé Ajouter un commentaire
 

Lancé en fin d’année dernière, le  »Norton Forum » en français est accessible à l’adresse www.norton.com/fr/forum. Ce forum traite de l’assistance sur les produits Norton, les actualités Norton, et donne des informations sur la sécurité grand public.

Désormais accessible ici www.twitter.com/Nortonfr et là www.facebook.com/Nortonfr, l’équipe Norton propose un concours permettant de remporter ce clavier de course !

A noter, il y aura 1 jeu par semaine !!!

A vous de jouer : http://fr.community.norton.com/t5/Le-jeu-de-la-semaine/bd-p/LeJeuDeLaSemaine

Et bonne chance !

, ,
déc
22

Les 7 péchés capitaux : n°3, la luxure.

Laurent Non classé Ajouter un commentaire
 

Il fallait s’y attendre, eh bien oui, plus du tiers des sites les plus malfaisants du monde sont catégorisés « Adultes » ! Ces informations proviennent du site http://safeweb.norton.com , qui outre vous donner le degré de dangerosité d’un site AVANT d’y mettre les clics, remonte périodiquement des statistiques.

Ajoutons quelques infos :

  • 18 du top 20 sont classés « adultes »
  • On trouve plus de 80.000 maliciels (si, si 80 mille) sur chacun des 3 premiers sites
  • La très grande majorité sont des « .com« , suivi des « .net » et des « .cn »
  • La plupart sont hébergés aux Etats-Unis et en Chine.
  • Ces sites ont une durée de vie limitée, enfin surtout leur nom…car ils renaissent par magie sous un autre nom assez rapidement.

A noter cependant (et à l’instant même) un probable nouveau record avec un site plutôt inoffensif à priori, mais qui recelle à lui seul 133741 risques de sécurité. Inutile de dire qu’il serait stupide d’y aller…

Désolé pour ceux qui attendaient du plus « croustillant » (j’ai les noms…) ;-)

Et pour mémoire,  l’orgueil et la colère, c’était

, ,
déc
17

Nom de Zeus !

Laurent Non classé 1 commentaire
 

zeusLe toolkit ZEUS, qui existe depuis un certain temps, est maintenant assez répandu dans le monde du cybercrime. Il est simple à utiliser et très efficace pour voler les données de systèmes distants et bien plus encore. A la base lié à un groupe de cyber-vilains dénommé « Rock Phish » et ciblant plutôt les institutions financières mondiales, on le trouve aujourd’hui plus facilement, à la vente ou même gratuitement sur certains forums souterrains (pas tant que ça…)

 

C’est très détaillé, c’est en anglais (mais il ne parle pas trop vite) et SURTOUT c’est à voir en PLEIN ECRAN, sinon on en rate pas mal, mais c’est très démonstratif et donne une bonne idée du niveau technique de l’outil. Quelques éléments de défense pour terminer.

Comme on peut le voir dans la vidéo, la simplicité d’emploi permet à n’importe qui (ou presque) de créer son propre petit Botnet personnel. C’est d’ailleurs devenu l’outil privilégié des cyber-criminels du dimanche ou débutants. Sur l’année passée, Symantec à détecté plus de 154.000 machines infectées par Zeus, et surtout identifié plus de 70.000 variantes du binaire. Les chiffres globaux étant probablement bien plus élevés.

 

Si Zeus voulait écouter les voeux des hommes, tous périraient, car ils demandent beaucoup de choses qui sont nuisibles à leurs semblables.                                             Epicure.

déc
12

« Il n’y a pas de patch à la stupidité – Kevin Mitnick »

Laurent Non classé 2 commentaires
 

mitnickUne citation de l’ex-phreaker/hacker repenti, qui aujourd’hui passerait presque pour un « gentleman cambrioleur« , comparé aux cyber-vilains du moment, comme Albert Gonzalez

Voici probablement une de mes illustrations préférées de cet adage, à travers un bandeau trouvé sur le net il y a déjà un certain temps, mais ô combien évocateur du chemin à parcourir…

Stolencard

Pas forcément besoin de se creuser la tête pour trouver des techniques d’ingéniérie sociales super-sophistiquées…

,
« Précédent