IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Ce que Microsoft a appris de la lutte contre les botnets
Exposé par l'un de ses chercheurs

Le , par Djug

0PARTAGES

1  0 
Mise à jour du 09.09.2010 par Katleen
Microsoft met à mort le botnet Waledac grâce à une procédure d'ex parte, une première juridique qui pourrait changer la donne en matière d'affaires liées à la cybercriminalité


Cour du district Est de la Virginie, Etats-Unis. Un juge vient d'y ordonner que 276 noms de domaines (qui servaient de serveurs command-and-control pour envoyer des instructions à des milliers de machines infectées) soient transférés entre les mains de Microsoft par leurs propriétaires, afin d'empêcher qu'utilisation en soit à nouveau faite pour des activités cybercriminelles. Pour ce faire, un délai de deux semaines leur est accordé.

Cependant, les accusés n'étaient pas présents lors du procès, bien qu'ils en aient été informés. Ils auraient même tenté de lancer une attaque DDoS (par déni de service) à l'encontre du cabinet juridique qui a déposé la plainte. Un chercheur impliqué dans l'affaire aurait également été menacé, d'après Microsoft.

Tout ceci est bien connu des férus de sécurité informatique sous le nom de l'affaire Waledac, du nom de l'énorme botnet dont il est question.

Dans ses meilleurs jours, Waledac envoyait près de 1.5 milliards de courriels (spam) par jour, pour plus de 64.000 adresses IP uniques infectées.

Les autorités américaines estiment que les propriétaires du botnet sont localisés en Chine, pays où sont d'ailleurs enregistrés la plupart des noms de domaines incriminés.

Confisquer ces sites Internet sans que leurs responsables n'assistent à l'audience fut une première historique. La décision fut prise sous la principe d' « ex parte », en faveur de l'intérêt publique.

Il n'y avait pas encore de précédent légal à cela.

« Il s'agit de la première application d'un ex parte dans une affaire relative à un botnet. C'est la première fois que nous avons pu convaincre un tribunal, dans le contexte d'un botnet, que l'ex parte devrait être utilisé à cause des dommages causés, et de la rapidité à laquelle un botnet peut renaître.
Cette stratégie a été un « proof of concept » qui pourra servir à d'autres contre des botnets, et contre l'exécution d'autre crimes en ligne dans le futur. Le jeu à changé.

Microsoft se réjouit de cette décision et indique avoir déjà plusieurs cas similaires en réserve, dans le cadre de son projet MARS (Microsoft Active Response for Security).

« Nous travaillons déjà à appliquer les leçons que nous avons apprises lors de cette procédure pour en traiter de futures. L'industrie commence à prendre des mesures plus agressives envers les botnets. Vous pouvez êtres sûrs que cela ne s'arrêtera pas en si bon chemin. », a déclaré un porte-parole de Redmond.

Source : Le blog TechNet (Microsoft)

Mise à jour du 20.03.2010 par Katleen

Ce que Microsoft a appris en matière de lutte contre les botnets, exposé par l'un de ses chercheurs

"Voici publiées les premières leçons que nous et d'autres chercheurs avons tirées de l'impact de l'opération b49."

Microsoft semble avoir beaucoup appris de son action de neutralisation du botnet Waledac (même si celui-ci a depuis repris du service).

Les unités spécialisées de la Digital Crimes Units ont d'abord du attaquer le botnet par couches. Ceci, via des perturbations de communications P2P et des désactivations de noms de domaine pour empêcher les échanges entre les ordinateurs zombies et les serveurs de commande et de contrôle du botnet. Ont aussi été utilisées les traditionnelles désactivations de serveurs.

Ces actions ont été efficaces puisque des dizaines de milliers d'ordinateurs infectés ont été nettoyés, et que la facilité de propagation du botnet sur d'autres machines a été réduite.

Mais, ce que Microsoft a appris, c'est que rompre le lien bots / maître ne suffit pas. Une fois libérés, les ordinateurs autrefois zombies restent infectés, souvent même par d'autres malwares sans aucun lien avec cette affaire.

Microsoft a donc promptement invité les internautes à faire usage de son outil gratuit de suppression de programmes malicieux : Malicious Software Removal Tool.

Enfin, l'éditeur conclu que même s'il n'est actuellement pas possible de supprimer toutes les menaces en ligne d'un coup, une telle opération comme celle menée contre Waledac est riche d'enseignements et aide à mieux appréhender les prochaines du même genre.

Source : Message posté sur le blog du Microsoft Malware Protection Center (MMPC)

Mise à jour du 12/03/10

Peut-on vraiment lutter contre les botnets ?
Le plus grand réseau de malwares démantelé recommence à sévir en 48 heures

La victoire de Microsoft contre le réseau Waldec pourrait n'être qu'une goutte d'eau dans l'océan (lire ci-avant).

Certes, le dépôt d'une plainte avait effectivement permis d'utiliser des moyens légaux - une nouveauté à grande échelle - pour déconnecter un centre de commande du botnet Zeus et mettre hors service 277 noms de domaine lié à ce réseaux malveillant.

Mais l'activité de Zeus ne s'en est trouvé que partiellement affectée.

Et les victoires semblent de plus en plus temporaires.

Une deuxième opération visait un fournisseur d'accès et de services webs, Troyak.org, dont le FBI et les experts en sécurité se félicitaient, dès le début de la semaine, de la fermeture.

Troyac propageait en effet volontairement ce même botnet Zeus.
Sa mise hors service par ses deux providers - l'ukrainien Ihome et le russe Oversun Mercury - aurait ainsi permis la neutralisation de 25 % des ordinateurs infectés, selon Cisco Systems.

Une belle victoire pensait-on.

A peine deux jours plus tard, Troyak.org a déjà recommencé ses activités. D'après des experts en sécurité qui suivent l'affaire de près, 68 serveurs de "commande et contrôle" de Zeus se seraient remis à fonctionner suite à ce retour.

Troyak.org est un FAI enregistrée par Roman Starchenko Fedorovitch. Ses serveurs son également connus pour être à l'origine de nombreux spams. Il lui aura donc fallu moins de 48 heures pour passer un accord avec un nouveau provider, nommé Ya, et reprendre ses activités.

Interrogé par la presse, Roman Starchenko Fedorovitch prétend que ce black-out d'à peine deux jours était lié à une mauvaise manipulation d'administration réseau. Mais qu'aujourd'hui "ne vous en faîtes pas, tout est rentré dans l'ordre et fonctionne parfaitement".

Une version immédiatement contredite par les experts à l'origine de la demande de déconnexion - experts dont au passage l'anonymat doit être protégé. Ils affirment que c'est bien une action conjointe avec ses anciens providers qui avait mis Troyak hors service.

Autre fait étrange, dans les deux jours qui ont précédés cette action coordonnée, l'activité de Zeus semble avoir connu un pic inhabituel. Cette activité anormale laisse penser que les cyber-criminels ont volontairement et massivement diffusé le botnet pour construire de nouveaux réseaux d'ordinateurs zombies qui ne seraient pas affectée par la déconnexion de Troyac.

Et donc qu'ils ont été prévenus.

Le FBI en vient à parler de "jeu du chat et de la souris".

Ce Zeus fait décidément de plus en plus penser à Sisyphe.

Et vous ?

D'après vous, les experts arriveront-ils un jour à venir à bout de Zeus (et des réseaux de botnets ce type) hors service ?

Quelle(s) solution(s) (politiques, juridiques, techniques) proposeriez-vous si vous étiez en charge de ce problème ?

MAJ de Gordon Fowler

Microsoft annonce le démantèlement du réseau botnet Waledac responsable de la diffusion de plus de 1,5 milliard de spams par jour


Microsoft viens d’annoncer sur son blog officiel la réussite de son opération de démantèlement du réseau botnet Waledac.


cliquez sur l'image pour l'agrandir

Cette opération baptisée b49 et qui a duré 3 jours a permis de déconnecter le centre de commande du botnet et l’arrêt de 277 noms de domaine (après avoir déposé une plainte) soupçonnés d’être derrière ce réseau mondial de machines zombies.

Le réseau botnet Waledac est constitué de milliers de machines infectées à travers le monde, permet d’envoyer environ 1,5 milliard de spams par jour, et représente l’un des plus grands réseaux botnet aux Etats-Unis.

Microsoft a annoncé que cette opération n'a pas nettoyé les ordinateurs infectés, et recommande de suivre ces conseils sur la sécurité et de télécharger son outil «Malicious Software Removal Tool » pour nettoyer les machines susceptibles d’être infectées.

Source : le blog officiel de Microsoft

Qu’en pensez-vous ?

Voir aussi :

Comment se protéger des botnets ? Pourra-t-on un jour éradiquer cette menace ?
La rubrique sécurité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de spidermario
Membre éprouvé https://www.developpez.com
Le 26/02/2010 à 13:35
Je remercie Microsoft pour cette initiative
0  0 
Avatar de dvdbly
Membre averti https://www.developpez.com
Le 26/02/2010 à 14:02
C'est plus qu'une excellente nouvelle ! Merci pour cette actualité.
0  0 
Avatar de kaymak
Membre émérite https://www.developpez.com
Le 26/02/2010 à 14:19
gg Microsoft. Merci de l'investissement et du soutien fournit à la justice pour régler ce problème qui ne saurait être corrigé par la seule puissance publique.
0  0 
Avatar de razmo
Membre régulier https://www.developpez.com
Le 28/02/2010 à 20:51
L'outil ne s'installe pas sur seven dommage pour un produit Microsoft ...

Problème de compatibilité 64 / 32
0  0 
Avatar de smyley
Expert éminent https://www.developpez.com
Le 28/02/2010 à 21:45
Le "Malicious Software Removal Tool" est inclus dans un téléchargement mensuel via Windows Update.

Applique simplement toutes les mises à jour proposées par ce dernier.
0  0 
Avatar de kimz
Membre actif https://www.developpez.com
Le 01/03/2010 à 11:40
Bonjour,
Citation Envoyé par razmo Voir le message
l'outil ne s'installe pas sur seven dommage pour un produit crosoft ...

pb de compatibilite 64 / 32
La version 32 bits est disponible ici : http://www.microsoft.com/downloads/d...displaylang=en

La version x64 est ici : http://www.microsoft.com/downloads/d...displaylang=en

++
0  0 
Avatar de Louis Griffont
Inactif https://www.developpez.com
Le 01/03/2010 à 11:49
Citation Envoyé par deadalnix Voir le message
Ils ne font que nettoyer leur conneries . . .

Je dois dire qu'il y a gros progrès depuis vista/7 à ce niveau, mais XP et avant, c'est juste inutilisable autrement qu'en admin.
0  0 
Avatar de Zaptor
Nouveau membre du Club https://www.developpez.com
Le 01/03/2010 à 12:09
Citation Envoyé par dvdbly Voir le message
C'est plus qu'une excellente nouvelle ! Merci pour cette actualité.
Il est grand temps... Merci Crosoft pour une fois
0  0 
Avatar de deadalnix
Membre émérite https://www.developpez.com
Le 01/03/2010 à 15:06
Citation Envoyé par Louis Griffont Voir le message
Pour qu'un botnet puisse se développer, il faut plein d'utilisateurs qui l'installent chez eux.

Ou plein d'utilisateurs utilisant leur ordinateurs avec les droits admins et un faille de sécurité.
0  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 12/03/2010 à 15:45
Peut-on vraiment lutter contre les botnets ?
Le plus grand réseau de malwares démantelé recommence à sévir en 48 heures

La victoire de Microsoft contre le réseau Waldec pourrait n'être qu'une goutte d'eau dans l'océan (lire ci-avant).

Certes, le dépôt d'une plainte avait effectivement permis d'utiliser des moyens légaux - une nouveauté à grande échelle - pour déconnecter un centre de commande du botnet Zeus et mettre hors service 277 noms de domaine lié à ce réseaux malveillant.

Mais l'activité de Zeus ne s'en est trouvé que partiellement affectée.

Et les victoires semblent de plus en plus temporaires.

Une deuxième opération visait un fournisseur d'accès et de services webs, Troyak.org, dont le FBI et les experts en sécurité se félicitaient, dès le début de la semaine, de la fermeture.

Troyac propageait en effet volontairement ce même botnet Zeus.
Sa mise hors service par ses deux providers - l'ukrainien Ihome et le russe Oversun Mercury - aurait ainsi permis la neutralisation de 25 % des ordinateurs infectés, selon Cisco Systems.

Une belle victoire pensait-on.

A peine deux jours plus tard, Troyak.org a déjà recommencé ses activités. D'après des experts en sécurité qui suivent l'affaire de près, 68 serveurs de "commande et contrôle" de Zeus se seraient remis à fonctionner suite à ce retour.

Troyak.org est un FAI enregistrée par Roman Starchenko Fedorovitch. Ses serveurs son également connus pour être à l'origine de nombreux spams. Il lui aura donc fallu moins de 48 heures pour passer un accord avec un nouveau provider, nommé Ya, et reprendre ses activités.

Interrogé par la presse, Roman Starchenko Fedorovitch prétend que ce black-out d'à peine deux jours était lié à une mauvaise manipulation d'administration réseau. Mais qu'aujourd'hui "ne vous en faîtes pas, tout est rentré dans l'ordre et fonctionne parfaitement".

Une version immédiatement contredite par les experts à l'origine de la demande de déconnexion - experts dont au passage l'anonymat doit être protégé. Ils affirment que c'est bien une action conjointe avec ses anciens providers qui avait mis Troyak hors service.

Autre fait étrange, dans les deux jours qui ont précédés cette action coordonnée, l'activité de Zeus semble avoir connu un pic inhabituel. Cette activité anormale laisse penser que les cyber-criminels ont volontairement et massivement diffusé le botnet pour construire de nouveaux réseaux d'ordinateurs zombies qui ne seraient pas affectée par la déconnexion de Troyac.

Et donc qu'ils ont été prévenus.

Le FBI en vient à parler de "jeu du chat et de la souris".

Ce Zeus fait décidément de plus en plus penser à Sisyphe.

Et vous ?

D'après vous, les experts arriveront-ils un jour à venir à bout de Zeus (et des réseaux de botnets ce type) hors service ?

Quelle(s) solution(s) (politiques, juridiques, techniques) proposeriez-vous si vous étiez en charge de ce problème ?
0  0