Microsoft a annoncé récemment avoir mené à bien une opération coordonnée contre un important botnet, créé via le malware Dorkbot. Ce n'est pas le premier réseau que le groupe démantèle - avec le concours des forces de l'ordre - mais Dorkbot était particulièrement important, avec plus d’un million de PC infectés.
Un botnet est un réseau de machines zombies. Il s’agit d’un maillage constitué de PC qui ont été infectés par un malware bien particulier qui, en plus de voler des informations, peut être piloté à distance. Plus il y a de machines infectées par le même malware, plus le botnet grandit et plus le pirate qui le contrôle gagne en puissance. Car l’aspect spécifique d’un botnet est qu’une seule personne peut faire effectuer à des centaines de milliers de machines une action particulière, comme générer du spam ou déclencher des attaques distribuées par déni de service (DDoS).
La lutte contre les botnets demande des efforts coordonnés, comme l’indiquait récemment le spécialiste Éric Freyssinet dans nos colonnes. De nombreux aspects doivent être pris en compte, outre le simple fait d’intervenir pour couper les liens entre les machines et le serveur utilisé pour les contrôler. Au-delà de la technique, il faut prendre en compte l'intérêt financier : il est possible de payer pour générer du spam ou pour s’en prendre à une cible particulière.
100 000 nouvelles machines infectées par mois
Pour Dorkbot, Microsoft s’est associée à plusieurs partenaires : la société de sécurité ESET (éditrice de l’antivirus NOD32), le Département américain de la sécurité intérieure, Europol, le FBI, Interpol ou encore le Computer Emergency Response Team (CERT) de Pologne. Les techniques utilisées pour démanteler ce puissant botnet, qui comptait plus d’un million de machines, n’ont pas été révélées. Pas question d'indiquer publiquement les moyens et outils mis en œuvre. Mais le rythme de croissance du botnet Dorkbot était devenu inquiétant, avec 100 000 nouvelles machines contaminées environ par mois sur les six derniers mois.
Pour autant, ce botnet n’était pas nouveau, les premières traces de son existence remontant à 2011. L’opération pour s’y attaquer a nécessité une coordination internationale qui a visiblement mis un certain temps à se mettre en place. Le Microsoft Malware Protection Center avait en effet publié dès 2012 une analyse de Dorkbot en deux parties, dans lesquelles l’entreprise présentait les dangers d’un réseau qui grandissait.
Une prédilection pour les vieux PC sans protection
L’éditeur indique que Windows Defender et l’ensemble des antivirus sont capables de détecter Dorkbot depuis un moment. Les machines infectées sont donc celles qui ne sont pas protégées par une telle barrière et qui ont un Windows trop ancien pour inclure l’antivirus maison. On pense tout de suite aux dizaines de millions de PC encore sous Windows XP, alors même que le support technique du vieux système s’est terminé le 8 avril de l’an dernier. Nous avions alors souligné les dangers inhérents de laisser en fonctionnement des machines où les failles de sécurité ne pouvaient que s’accumuler avec le temps.
De fait, la répartition des PC contaminés sur les six derniers mois n’est pas étonnant. 21 % des infections ont eu lieu en Inde, 17 % en Indonésie, 16 % en Russie, 14 % en Argentine. La Chine, elle, comptait seulement pour 4 % des contaminations.
De nombreux identifiants dérobés
Microsoft explique dans tous les cas qu’il était devenu urgent de se débarrasser d’un malware que son concepteur vendait littéralement comme un « kit criminel ». Les méthodes de propagation étaient par ailleurs nombreuses : clés USB, messageries instantanées, réseaux sociaux, téléchargements depuis des sites malveillants ou encore emails. Comme souvent dans ce genre de cas, le malware était contrôlé à distance par de simples commandes IRC.
Malin, Dorkbot disposait de plusieurs techniques pour éviter d’être supprimé. De nombreux sites dévolus à la sécurité étaient donc bloqués et il avait même certaines capacités lui permettant d’échapper aux sandbox, une capacité de plus en plus courante parmi les malwares du genre. Une fois en place, il pouvait intercepter nombre de requêtes sur le web et récoltait en priorité les identifiants des comptes Google, AOL, eBay, Facebook, Godaddy, Mediafire, Netflix, Twitter ou encore Yahoo.
La coordination, décidément l'élément clé
Microsoft affiche finalement un discours qui ressemble largement à celui d’Éric Freyssinet en amont de la conférence Botconf 2015 : les efforts doivent être concertés pour détruire les botnets de manière efficace et durable. La firme indique par exemple que les éditeurs de solutions de sécurité doivent s’échanger leur savoir-faire, que les institutions financières doivent mieux identifier les flux frauduleux pour tarir les flux d’argent, et que les forces de l’ordre allient leurs efforts pour trouver finalement les auteurs.
Notez enfin que si Dorkbot et son million de machines infectées est une prise importante, il ne s'agit pas du plus gros botnet auquel se soit attaqué l'entreprise. En décembre 2013, aidée par le FBI et Europol, elle avait ainsi coupé l'accès à un botnet de deux millions de machines nommé ZeroAccess.
Commentaires (48)
#1
#2
#3
#4
#5
#6
“un botnet d’un million de PC”
" />
On dit un gros botnet
#7
Ca devrait être le sous titre de la news :P
#8
Un effort sur l’orthographe SVP ! L’auteur a vraiment un problème avec les participes passés…
“creer via le malware Dorkbot” “la sociéter de securiter” “L’operation a nécessiter” “avais en effet publier” “le support technique s’est terminer ”
#9
Qu’est-ce qu’on peut faire quand un FW fortinet détecte des tentatives d’accès en SMB à un share depuis un PC infecté sur lequel les AV du marché 5tren ou Symantec en tête) ne détectent rien sur ladite machine ?
#10
Les techniques utilisées pour démembrer ce puissant botnet, qui comptait plus d’un million de machines, n’ont pas été révélées.
Les mauvaises langues vont dire que c’est grace au backdoor de Microsoft
#11
#12
#13
Il pense être sur le forum d’actu de Clubic
" />
#14
Moi pas tout comprendre.
" />
en citant,
Les antivirus pour la plupart traitent le probleme depuis un moment.
Les plus concernés sont ceux sous xp (meme avec un seven cracké on peux faire les mises à jour… ?), chiffres des pays concernés.
Bref, si ça touche principalement xp, m\( va faire une nouvelle maj pour xp (cette dernière phrase est totalement sarcastique car difficilement concevable). Ou une maj ultime qui saccage la couche réseau des postes ^^'.
Dans le cas des postes qui ne sont pas mis à jour et ne disposent pas d'AV quel qu'il soit, ça ne changera pas non plus si tout es désactivé par l'utilisateur.
Et même si c'est le bot qui désactivait les maj, sans maj, m\) ne poussera rien sur les postes concernés.
Bah, de toute façon mon windows 3.1 ne craint plus rien lui
#15
Ca sert a rien de faire une maj si le malware n’exploite pas de failles (ya rien a patcher)
" />
Le problème ce n’est pas les PC infectés en tant que tel, c’est le fait qu’ils recoivent des commandes à partir de “centres de contrôles” (des serveurs tenus par les attaquants)
Ces opérations visent surtout, je pense, à faire sauter les serveurs de contrôles (les c&c). Ainsi, quand le zombie va demander des ordres , il ne recevrat rien, et a priori ne fera rien.
Apres le pc peu rester infecté, ca ne gènera pas le reste du monde mais juste les utilisateurs de celui ci :p
#16
XP…c’était prévisible et donc prévu et donc ça n’étonne personne.
#17
Si tu laisses le service ouvert sur les zombies, le pirate aura tôt fait de reprendre la main sur son botnet au moyen d’un patch ou d’un ver pour peu qu’il possède quelques contre-mesures (genre une backdoor et une liste à jour des ip de son botnet).
Une technique viable serait donc plutôt de diffuser un antivirus via les serveurs de commande.
#18
#19
#20
#21
#22
Et la pelletée de participants prend tout son sens.
Reste qu’il faut que tous les pays/hébergeurs suivent le mouvement. Bref, c’est loin d’être gagné ^^.
#23
J’ai marché dedans
" />
#24
#25
#26
#27
“Les machines infectées sont donc celles qui ne sont pas protégées par une telle barrière et qui ont un Windows trop ancien pour inclure l’antivirus maison. ”
Hahahaha !!!!! La blague !
#28
Heureusement qu’on est surveillés en permanence par notre grand ami Microsoft tueur de botnets !
#29
Mes excuses à l’auteur de l’article, quelqu’un m’a fait une blague de mauvais goût en m’installant une extension qui ajoute automatiquement des fautes d’orthographe aux pages web… Eh oui, des gens font ça.
#30
Pendant ce temps, sur Android et les Winphones, tout le monde s’en fout.
Sans compter les vieux Linux.
Mais voilà, c’est Windows.
#31
Pas mal ça ! 
" />
#32
Avec le crack qui lui-même est un service malveillant : bravo!
#33
#34
un crac k de jeu , d’appli, de système est bien souvent un client de botnet, virus etc
Rien n’est gratuit.
#35
#36
#37
anti-virus, anti-malware … etc
Cela reste du vol. Cracker un logiciel c’est voler quelqu’un … aussi puissant soit-il. C’est un principe !
MAIS le plus simple et le plus honnête … (a mon avis) installer Linux Mint ou Debian ou Ubuntu Linux !!!
#38
#39
ha… La propagande… c’est beau…
“bou, crack pas, c’est un virus le crack….”.
P.S : Remplace souvent par rarement.
#40
ok, alors donnes ce conseil … et ensuite tu le feras le sav ?
Moi je maintiens : 80% des crack embarque une surprise …
Note : les anti-ce que tu veux - ne détectent pas les virus de nos jours.
Avec un simple code amateur tu peux déjouer un anti-virus, sans problème, si le bonhomme derrière n’est pas attentifs à ses clics …
#41
80% au doigt mouillé…
Moi aussi je peux sortir des chiffres. Je dis qu’a tout casser tu as moins de 20% des cracks qui embarque un virus.
Bizarre qu’en rétro-ingénierie on arrive pas à prouver cette propagande de crack=virus ou autre. Y’en à même pour dire que les keygen sont infecté… c’est dire !
Oui, certains cracks sont utilisé pour diffuser des virus mais sont très minoritaire.
Un truc quasi infaillible : Un crack qui contient un virus… c’est généralement un crack fake. C’est de là que vient cette légende du crack=virus. Un fake crack, il ne fait rien… à part infecter un ordi.
#42
Le Toolkit le plus utilisé depuis des années n’est pas dangereux. ;) Idem pour celui utilisé pour la suite Adobe.
" />
C’est plutôt dans les cracks de jeux téléchargés sur des sites douteux que tu retrouve des merdes.
Pour me donner bonne conscience j’achète tous mes jeux… Windows j’ai eu une version de 7 préinstallée sur mon pc portable qui est depuis passée en 10… sur deux bécanes.
#43
malware*, pas virus. Il y a une (grosse) différence.
Je te laisse lire les articles : http://www.malekal.com/?s=crack
 http://forum.malekal.com/danger-des-cracks-keygen-t893.html
Pas besoin de rétro-ingénierie.
Il suffit de regarder les sites d’entre-aides pour voir que les cracks/keygens sont à l’origine de beaucoup d’infections.
#44
#45
#46
Je connais bien le site malekal merci. ;-)
Et c’est toujours la même propagande. Les teams réputé ne place pas de malware (si tu veux) dans leur crack. Soit il est rajouté après sur des sites louche, soit, ces même sites louche, te font croire que tu télécharge un crack… mais en faite c’est un malware.
Donc non, non et non : crack != virus ( ou ce que tu veux). Pas de raccourcis de la sorte !
Le danger des cracks est toujours le même : c’est les personnes n’y connaissant strictement rien qui lance sur leur machine tout et n’importe quoi en faisant une confiance aveugle !
Un crack pris sur un site de confiance et un minimum de connaissances suffises. C’est en ça que j’exècre la propagande de Malekal sur le sujet.
#47
Sur la propagande “malekalienne”, il faut comprendre une chose : la majorité des gens n’y entravent que pouic, autrement dit, comme on en as marre de leurs expliquer “ya les bons et les mauvais”, on se contente de dire “n’y touchez pas”.
" />. Qui plus est, la propagation des malwares est bien plus insidieuse que pas mal de gens l’imaginent, les moyens d’infections et de persistances sont variés.
" />
" />
Si on commence à mettre une nuance, cela ouvre la voie aux fameux “kitouchent” qui “savent” …..qui savent que dalle oui. Le genre qui formate le pc des qu’il y a un problème
Si on dit texto : les cracks c’est de la m…. là on parle au plus nul en info.
En plus, éthiquement parlant, ils ne peuvent pas parler de “bons” cracks
C’est un mensonge pour un bien, je dirait.
#48
Faut quand même relativiser : sur des trackers privés de qualité, tu as des teams irréprochables au niveau de leurs cracks…
" />)
Par contre, pour ce qui est des keygen récupérer sur des sites beaucoup plus louche, c’est autre chose.
Quand tu vois un jeu téléchargé 50 000 fois, cracké par une team qui pour l’ensemble des jeux représente 10 fois plus de téléchargement, et que personne ne remonte d’info sur un comportement bizarre, j’ai quand même tendance à faire confiance.
(PS : après tu peux acheter le jeu c’est bien aussi