Microsoft, le FBI et Europol coupent l'accès à un botnet de 2 millions de PC

Microsoft, le FBI et Europol coupent l’accès à un botnet de 2 millions de PC

Mais un botnet avec des horcrux visiblement

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

06/12/2013 4 minutes
46

Microsoft, le FBI et Europol coupent l'accès à un botnet de 2 millions de PC

Dans un communiqué paru hier soir, Microsoft a annoncé avoir participé à la coupure d’un immense botnet de plus de deux millions de machines. Nommé ZeroAccess, ou encore Sirefef, il a nécessité la coopération de plusieurs partenaires, du FBI et d’Europol.

malware

Crédits : Adam Gerard, licence Creative Commons

Deux millions d'ordinateurs infectés 

Comme nous l’indiquions hier dans une actualité connexe, les botnets sont des réseaux de machines infectées par un ou plusieurs malwares. Ces derniers prennent le pouvoir et sont capables de recevoir des ordres émanant d’une seule personne, qui peut alors contrôler plusieurs centaines de milliers de machines du bout des doigts. Les machines sont dites « zombies » car elles obéissent aveuglément à des requêtes qui concernent le plus souvent des attaques (en bombardant par exemple un serveur de requêtes) ou pour générer du spam.

 

Microsoft a annoncé hier soir par voie de communiqué le succès d’une vaste opération lancée contre un botnet du nom de ZeroAccess. La firme était notamment associée au FBI ainsi qu’à l’European Cybercrime Centre (EC3) d’Europol. Ce parc de machines zombies avait gonflé démesurément pour dépasser les deux millions d’ordinateurs, nécessitant une intervention pour se débarrasser notamment des serveurs de contrôle.

Une intervention physique dans plusieurs pays d'Europe 

La firme avait donc déposé une plainte la semaine dernière devant un tribunal du Texas pour obtenir le droit d’agir directement. L’autorisation a été donnée peu de temps après, permettant à Microsoft de faire bloquer les trafics entrant et sortant des machines concernées sur le territoire américain. 18 adresses IP, correspondant à des serveurs de contrôle, ont également été bloquées, et la firme indique également avoir pris possession de 49 noms de domaines associés au botnet.

 

Microsoft ne s’est toutefois occupé que de la partie technique, car un travail plus en profondeur a été réalisé par Europol. Une action portant sur plusieurs juridictions a donc été menée pour intervenir directement sur les serveurs en Lettonie, au Luxembourg, en Suisse, aux Pays-Bas et en Allemagne. Des mandats de perquisition ont permis la récupération physique des machines associées aux IP frauduleuses qui avaient été repérées en Europe.

Détourner les résultats des moteurs de recherche 

Le fonctionnement de ZeroAccess n’est pas comparable à Ponny, que nous abordions hier. Ainsi, il n’était pas question ici de récupérer des identifiants, mais de détourner de la publicité. Le ou les malwares étaient installés soit via des sites qui avaient été corrompus, soit à travers des logiciels trafiqués. Une fois en plus, il détournait les pages des principaux moteurs de recherche (Google, Bing et Yahoo) pour orienter les utilisateurs vers de faux résultats, voler des informations personnelles ou encore détourner les clics faits sur les publicités. C’est précisément cette activité qui était pointée du doigt car ZeroAccess aurait fait perdre environ 2,7 millions de dollars de chiffre d’affaires aux agences de publicité tous les mois.

 

Selon le communiqué de Microsoft, le botnet ZeroAccess était particulièrement difficile à combattre. La faute à une infrastructure technique basée sur les échanges P2P, ce qui permettait aux pirates de le contrôler depuis de nombreuses machines. Conséquence, la firme, comme le FBI et Europol, estime que toutes les machines n’ont pas nécessairement été mises hors d’état de nuire et que le botnet survit peut-être sous une forme très affaiblie. L’intérêt de l’opération était toutefois de court-circuiter le modèle économique mis en place, ce qui est le cas.

Les utilisateurs prévenus 

Pour la suite, la firme indique travailler avec ses partenaires pour avertir les utilisateurs dont les machines ont été contaminées. Microsoft recommande l’installation de solutions spécifiques car ZeroAccess bloque toute tentative manuelle pour le déloger. La meilleure protection pour se prémunir contre ce type de menace est de toujours installer les mises à jour de sécurité et de faire attention à la source des téléchargements de logiciels.

 

On notera que cette action illustre parfaitement la situation qui risque de se produire à large échelle lorsque le support de Windows XP prendra fin en avril 2014. Les failles ne seront plus corrigées et certains pays, dont la Chine, auront de réelles difficultés puisque l’ancien système y règne toujours avec plus de 50 % de parts de marché.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Deux millions d'ordinateurs infectés 

Une intervention physique dans plusieurs pays d'Europe 

Détourner les résultats des moteurs de recherche 

Les utilisateurs prévenus 

Commentaires (46)


on a des stats sur les pays concernés par les machines zombies, qu’on rigole un peu? <img data-src=" />




La firme avait donc déposé une plainte la semaine dernière devant un tribunal du Texas pour obtenir le droit d’agir directement. L’autorisation a été donnée peu de temps après, permettant à Microsoft de faire bloquer les trafics entrant et sortant des machines concernées sur le territoire américain. 18 adresses IP, correspondant à des serveurs de contrôle, ont également été bloqués, et la firme indique également avoir pris possession de 49 noms de domaines associés au botnet.



Microsoft ne s’est toutefois occupé que de la partie technique, car un travail plus en profondeur a été réalisé par Europol. Une action portant sur plusieurs juridictions a donc été menée pour intervenir directement sur les serveurs en Lettonie, au Luxembourg, en Suisse, aux Pays-Bas et en Allemagne. Des mandats de perquisition ont permis la récupération physique des machines associées aux IP frauduleuses qui avaient été repérées en Europe.





Comme quoi, ça sert à rien le filtrage préventif et la surveillance permanente, vu qu’on peut agir au coup par coup dès détection de la menace.



Et la justice, elle fait son boulot en pareil cas. A bon entendeur…


Il faut bloquer le peer-to-peer!!!!!


sur mes serveurs,faute de solutions,je bloque deja 3 pays : russie,chine,inde…. C’est pas une bonne solution, mais c’est la seule â ma portée pour contrer les farmbots,spambots qui crashaient apache :-(








gounzor a écrit :



sur mes serveurs,faute de solutions,je bloque deja 3 pays : russie,chine,inde…. C’est pas une bonne solution, mais c’est la seule â ma portée pour contrer les farmbots,spambots qui crashaient apache :-(





Comment tu fais ? :o)









Lancelot_ a écrit :



Comment tu fais ? :o)





Du filtrage par géo-IP, en général avec un iptables associés à une liste (et coucou le puits sans fond récupérateur d’IPs)



iptables -A INPUT -s niakoué -j DROP

iptables -A INPUT -s sale_coco -j DROP

iptables -A INPUT -s pilote_d_elephant -j DROP





<img data-src=" />


Pour une fois que je vais dire ça : GG Microsoft !!! <img data-src=" />








Commentaire_supprime a écrit :



Comme quoi, ça sert à rien le filtrage préventif et la surveillance permanente, vu qu’on peut agir au coup par coup dès détection de la menace.



Et la justice, elle fait son boulot en pareil cas. A bon entendeur…







moui, enfin du coup ça se repose sur une entreprise privée pour faire le boulot (et si, il y a donc surveillance permanente de leur part), surtout . youpi.



Pourquoi les botnets se connectent-ils toujours à une adresse IP?

Il “suffirait” qu’ils se connectent périodiquement à un nom de domaine selon la date et l’heure.

Celui qui veut utiliser le botnet doit d’abord acheter ce nom de domaine pour transférer l’attaque.



Cela réduit potentiellement l’attaque possible (le serveur maître serait actif un court laps de temps), mais ce serait moins visible que d’aller chercher une adresse IP tous les x temps. Et bloquer tous les noms de domaine générés, ça serait cher.



Je déconne là?








brice.wernet a écrit :



Pourquoi les botnets se connectent-ils toujours à une adresse IP?

Il “suffirait” qu’ils se connectent périodiquement à un nom de domaine selon la date et l’heure.

Celui qui veut utiliser le botnet doit d’abord acheter ce nom de domaine pour transférer l’attaque.



Cela réduit potentiellement l’attaque possible (le serveur maître serait actif un court laps de temps), mais ce serait moins visible que d’aller chercher une adresse IP tous les x temps. Et bloquer tous les noms de domaine générés, ça serait cher.



Je déconne là?





Tu déconnes là.

Avec un nom de domaine, on t’exige souvent des infos valides. Donc, du coup, ce serait facile de tomber sur les créateurs du botnet. Puis, un nom de domaine ça pointe vers une IP.



A mon avis, s’ils ont fait ça, c’est pour une raison bien particulière, et passer un par NDD n’est pas très judicieux.



Donc “l’outil de suppression de logiciel malveillant” qui est exécuté régulièrement lors des mises à jours de windows ne sert à rien du tout <img data-src=" />



Ils doivent pas beaucoup bosser chez europol, on trouve des malwares détourneurs de pub sur n’importe quel site de warez.



Perso j’en ai marre de désinstaller toujours les même toolbars, moteur de recherche, plugins à la con et autre ‘optimisateur de registre’.



Faut créer un hadopi pour ceux qui installe n’importe quoi, avec une amende à la clé <img data-src=" />




18 adresses IP… ont également été bloqués



C’est pas bloquées ?



Une fois en plus…



J’ai pas compris.








gounzor a écrit :



sur mes serveurs,faute de solutions,je bloque deja 3 pays : russie,chine,inde…. C’est pas une bonne solution, mais c’est la seule â ma portée pour contrer les farmbots,spambots qui crashaient apache :-(







Si un bot crash ton Apache, t’as d’autres questions à te poser je pense :)



Tiens, on a une idée de qui a constaté que ça n’allait pas :





Le fonctionnement de ZeroAccess n’est pas comparable à Ponny, (…)

Le ou les malwares étaient installés soit via des sites qui avaient été corrompus, soit à travers des logiciels trafiqués. Une fois en plus, il détournait les pages des principaux moteurs de recherche (Google, Bing et Yahoo) pour orienter les utilisateurs vers de faux résultats





Là, quand les revenus de pub passent d’un coup de N à zéro, ça suffit pour alerter les webmasters qui gèrent les serveurs attaqués, et sonner l’alerte.



Pas besoin de surveiller autre chose que les serveurs attaqués. Et d’y trouver le vecteur d’attaque. S’il y a une cible, c’est qu’il y a un tireur qui y envoie un projectile dessus. En reconstituant la trajectoire du projectile, on trouve le tireur, CQFD.


Un rapport avec le Trojan du même nom?








geekounet85 a écrit :



on a des stats sur les pays concernés par les machines zombies, qu’on rigole un peu? <img data-src=" />





Ton PC est infecté, dommage :o









le-gros-bug a écrit :



Donc “l’outil de suppression de logiciel malveillant” qui est exécuté régulièrement lors des mises à jours de windows ne sert à rien du tout <img data-src=" />



Ils doivent pas beaucoup bosser chez europol, on trouve des malwares détourneurs de pub sur n’importe quel site de warez.



Perso j’en ai marre de désinstaller toujours les même toolbars, moteur de recherche, plugins à la con et autre ‘optimisateur de registre’.



Faut créer un hadopi pour ceux qui installe n’importe quoi, avec une amende à la clé <img data-src=" />





euh, et si tu utilisais un bloqueur de scripts?

Personnellement je n’ai aucune toolbar ou moteur de recherche (ou plugin à la con…) sur mon PC, mais je ne me gène pas pour creuser le web là où ça chauffe de ce coté.

Une seule fois g chopé un malware, et encore, c’était un faux antivirus, … c’était en cliquant sur un lien dans un mail usurpant l’identité d’un proche.

le zero danger n’existe certe pas, mais pour moi “l’outil de suppression de logiciel malveillant” c’est une béquille, pas un vaccin.<img data-src=" />









gounzor a écrit :



sur mes serveurs,faute de solutions,je bloque deja 3 pays : russie,chine,inde…. C’est pas une bonne solution, mais c’est la seule â ma portée pour contrer les farmbots,spambots qui crashaient apache :-(



Tu as aussi la solution de configurer apache correctement. <img data-src=" />









le-gros-bug a écrit :



(…)



Perso j’en ai marre de désinstaller toujours les même toolbars, moteur de recherche, plugins à la con et autre ‘optimisateur de registre’.



Faut créer un hadopi pour ceux qui installe n’importe quoi, avec une amende à la clé <img data-src=" />





Il est anormal que tu doives désinstaller des toolbars, si tu en es là c’est que tu ne bloques pas les scripts avec les outils idoines de ton navigateur, comme le dit dematbreizh, et que tu as des malwares installés dans le navigateur, forcément.



Ce que tu décris me rappelle une copine qui avait ce souci avec un Windows, mais il fallait voir comment c’était configuré !!! <img data-src=" />



Avec les petits jeux gratuits rigolos, credimail si pratique, enfin un tas de joyeusetés vérolées et véroleuses…



Deux jours à faire le ménage dans son Seven, moi qui n’avais plus touché de Windows depuis un bail j’étais effaré de voir que ça existait encore, et tout ça en admin sur sa session <img data-src=" />… Un paradis pour les hackers malintentionnés et autres botnets…









paradise a écrit :



Il est anormal que tu doives désinstaller des toolbars…







Pas chez moi… Je répare le PC des autres c’est ma grande passion(<img data-src=" />)



Il y en a partout c’est un vrai business. A mon avis c’est un coup monté par les réparateurs de PC <img data-src=" />









psn00ps a écrit :



Tu as aussi la solution de configurer apache correctement. <img data-src=" />





et ne pas le régler comme un cherokee <img data-src=" />



<img data-src=" /> je suis déjà très loin.









feuille_de_lune a écrit :



et ne pas le régler comme un cherokee <img data-src=" />





Commanche ça ?









FrenchPig a écrit :



Commanche ça ?





en utilisant le langage irokois <img data-src=" />









feuille_de_lune a écrit :



en utilisant le langage irokois <img data-src=" />



C’est un sioux-langage ça…









CUlater a écrit :



C’est un sioux-langage ça…





Faudrait demander à Geronimo, pour savoir lequel est le mieux









feuille_de_lune a écrit :



Faudrait demander à Geronimo, pour savoir lequel est le mieux





Mohi-quand ?









FrenchPig a écrit :



Mohi-quand ?







Vous n’êtes pas o-sages…









FrenchPig a écrit :



Mohi-quand ?



Quand Navajo aura le temps de se pencher sur l’affaire.









Aloyse57 a écrit :



Vous n’êtes pas o-sages…





on se Mohawk un peu









FrenchPig a écrit :



on se Mohawk un peu



Peigan même, tout ça à cause de feuille_de_lune <img data-src=" />



<img data-src=" /> faut bien se détendre, on est vendredi. À ce qu’il parait c’est permis <img data-src=" />








feuille_de_lune a écrit :



<img data-src=" /> faut bien se détendre, on est vendredi. À ce qu’il parait c’est permis <img data-src=" />





Vincent te diras que non <img data-src=" />



non pas les <img data-src=" /> !








Lancelot_ a écrit :



Comment tu fais ? :o)







Non pas comme on t’as répondu plus haut, je bloque carrément tout les plages d’ips des pays dans mon .htaccess :http://blockcountryip.com/



C’est bien porc, ça rajoute des ko a charger, et il faut vérifier de temps en temps que les plages ont pas été réattribuées, et les bots peuvent passer par des proxies ou des vpn hein, mais bizarrement ça ne semble pas le cas, et j’ai plus de spambombs.



C’est une mauvaise solution, car c’est comme se couper la main quand on s’est fait piquer par une abeille…

La vraie bonne solution serait d’utiliser mod_sec2 pour apache/nginx, mais mod_sec2 est bien bien compliqué a installer et à paramétrer pour un site dynamique et communautaire.









neves a écrit :



Si un bot crash ton Apache, t’as d’autres questions à te poser je pense :)







Oui, c’est qu’ils ouvrent trop de requêtes/secondes et ça leak sans tuer les processus apache.



Je peux pas mieux régler mon apache, car je suis sur un vps, et il n’y a pas plein de trucs sur les vps (comme le swap qui permettrai de mettre les requêtes à la file au lieu de leaker la ram), il y a des solutions, mais la meilleure serai d’avoir un vrai dédié, bien réglé par un vrai admin serveur, ce pour quoi je n’ai pas les moyens.









psn00ps a écrit :



Tu as aussi la solution de configurer apache correctement. <img data-src=" />







J’ai répondu à la même remarque, mais j’ai fait du mieux que j’ai pu avec mes maigres connaissances ;)



Hum, ZeroAccess.. Du point de vue de sa conception, il est plutôt au dessus du lot des “merdewares” celui là :p



En effet, le moindre logiciel (scanneur?) qui tente d’accéder à un composant de Zeroaccess sans employer une méthode spécifique provoque automatiquement un blocage du dit logiciel , le virus changeant les ACL à la volée <img data-src=" />

C’est redoutable.



Ah, une remarque sur les NDD : ca c’est vu, un malware qui contacte un NDD aléatoire . Les serveurs sont justes configurés pour pointer au même endroit quelque soit le sous domaine demandé <img data-src=" />








brice.wernet a écrit :



Pourquoi les botnets se connectent-ils toujours à une adresse IP?

Il “suffirait” qu’ils se connectent périodiquement à un nom de domaine selon la date et l’heure.

Celui qui veut utiliser le botnet doit d’abord acheter ce nom de domaine pour transférer l’attaque.



Cela réduit potentiellement l’attaque possible (le serveur maître serait actif un court laps de temps), mais ce serait moins visible que d’aller chercher une adresse IP tous les x temps. Et bloquer tous les noms de domaine générés, ça serait cher.



Je déconne là?





Le nom de domaine ça s’usurpe, faut l’enregistrer, ça laisse des traces, tu es dépendant des maj des DNS, etc…



Autant attaquer directement l’IP, surtout sur un botnet en P2P, si le pirate veut donner des ordres, il contacte 1 PC du botnet au pif et celui-ci se chargera de dire aux autres que faire.









Khalev a écrit :



Autant attaquer directement l’IP, surtout sur un botnet en P2P, si le pirate veut donner des ordres, il contacte 1 PC du botnet au pif et celui-ci se chargera de dire aux autres que faire.







Exact.. J’ai encore contacté No-ip hier avec des DNS de kikoolol DarkComerdeux © à null route :p



<img data-src=" /><img data-src=" /><img data-src=" />



Le sous-titre <img data-src=" />








CUlater a écrit :



Peigan même, tout ça à cause de feuille_de_lune <img data-src=" />





Vous n’avez pocahontas avez vos vannes pourries? <img data-src=" />









gounzor a écrit :



sur mes serveurs,faute de solutions,je bloque deja 3 pays : russie,chine,inde…. C’est pas une bonne solution, mais c’est la seule â ma portée pour contrer les farmbots,spambots qui crashaient apache :-(





Un Apache qui tourne sous un Linux ?

(c’est assez costaud généralement un Apache sous Linux).



Apache ce fait DDOS trops facilement.

Sufft ouvrir les connexion jusqu’a server limit est plus de apache.



Et les chinois sont facilement la cause.

La latence et leur connexion de merde fait qu’il utilise 10 fois plus longtemp le fork apache



1er patch utilise fast cgi avec le mode worker evitera avoir 1000 instance php

2eme migrer vers nginx



Bon, je me retiens parce que attention niouze à troll.

-L’aide de MS, c’est un minimum, vu que c’est sur leur système que tourne le botnet, et que bon, sécurisation, bla bla bla, toussa… Alors de là à les féliciter, <img data-src=" />

-Pour surfer et ouvrir ses mails, pas besoin de windows, hein ? Si l’utilisateur ne fait ni Office, ni jeux, ni Toshop, et il y en a beaucoup, apprenez leur le geste qui sauve.


Miner avec un parc de 2millions de machines, ça doit rapporter <img data-src=" />