Developpez.com

Le Club des Développeurs et IT Pro

Le FBI démantèle le botnet Coreflood

à l'aide d'une technique peu répandue

Le 2011-04-15 21:21:39, par Katleen Erna, Expert éminent sénior
Le FBI démantèle le botnet Coreflood, à l'aide d'une technique peu répandue

Le FBI vient d'annoncer avoir mis hors d'état de nuire le botnet Coreflood, qui incorporait près de 2.3 millions de machines infectées. L'opération a été menée suite à l'accord d'un juge, et a un peu consisté en une version numérique de l'arroseur arrosé.

Les experts américains ont alors infiltré le réseau à la solde des pirates pour prendre en main l'un de ses centres névralgiques. Grâce à cela, ils ont pu modifier les injonctions envoyées et ordonner à de nombreux ordinateurs de cesser d'exécuter le malware. Résultat, le botnet s'est comme auto détruit.

Et les adresses IP des machines compromises ont été transmises aux FAIs, pour qu'ils avisent leurs propriétaires de nettoyer leurs machines et de prendre garder à les sécuriser davantage.

McAfee verse néanmoins de l'eau dans le vin de ce succès et met en garde contre une possible résurrection du réseau de PC zombies : «Cela ne veut pas dire que Coreflood ne renaîtra pas de ses centres, et d'autres botnets prendront sa place».

Que pensez-vous de la technique utilisée ?

Une arme anti-botnets sera-t-elle un jour découverte ?
  Discussion forum
18 commentaires
  • selenith
    Nouveau membre du Club
    Que pensez-vous de la technique utilisée ?
    C'est fourbe, j'aime bien.

    Une arme anti-botnets sera-t-elle un jour découverte ?
    Je ne pense pas qu'il y a d'arme absolue.
    Et d'ailleur pour repondre a Shepard la meilleure arme c'est la prophylaxie, ou la securisation des postes personnel et des serveurs.

    Sans parler des antivirus, Le probleme c'est que la plupart des infections sont dues à des exploitations de failles sur des systemes d'exploitation ou des programmes non mis a jours.

    Il y a aussi un second angle d'attaque des botnet qui est pourtant facile à contrer : le social engineering.
    Un des moyens de propagation le plus efficace des botnet est l'envoi de mail a tous les contacts enregistrés sur la machine infectée. Chaque contact va alors recevoir un mail contenant un lien bidon du genre "cliquez moi dessus et vous aurez plein d'euros".
    Et maleureusement, il y a toujours des gens non informés qui vont cliquer sur le lien malefique, redirigeant vers un page web contenant une panoplie de scripts pour trouver une faille dans le navigateur de l'inconscient qui ne voulais que plein d'euros et pas de vilains virus.
    le 16/04/2011 à 14:44
  • YannPeniguel
    Membre éprouvé
    Une arme anti-botnets sera-t-elle un jour découverte ?
    le 18/04/2011 à 13:02
  • Ssmiling
    Membre à l'essai
    Envoyé par Shepard
    ... me semble impossible vues (vu ? Je ne sais jamais si on accorde dans ce cas :p) les législations...
    "vu" est utilisé en lieu et place de "au vu des législations" dans le langage parlé et ne s'accorde donc pas.

    Ssmiling For Ever ;-)
    le 20/04/2011 à 9:59
  • selenith
    Nouveau membre du Club
    Là en l’occurrence il s'agit plutôt de personnes infectées via le P2P (cracks/keygens et cie)
    Sur ce botnet en particulier ?

    Le problème est toujours le même je pense. Le moteur de contamination reste le social engineering. Dans le cas présent c'est la crédulité de l'utilisateur du logiciel piraté (ou de piratage) qui est exploitée.
    C'est sur que si sur le site contenant le tracker (pour le p2p) on indique a l'utilisateur : "Ne t'inquiète pas, c'est détecté comme un virus mais ca n'en est pas un !" et qu'effectivement l'antivirus hurle qu'il a trouvé un truc du genre "win32BackOrifice" et que ledit utilisateur ne se pose toujours pas de question, on ne peut pas faire grand chose contre ce mode de propagation des botnets.

    Pourtant il est facile de détecter un comportement anormal d'un programme. Le point essentiel étant qu'un programme n'as pas à se connecter à un serveur sans indiquer pourquoi il le fait et surtout si on ne lui en donne pas l'autorisation. C'est pourquoi il peut être intéressant d'utiliser un firewall différent de celui présent par défaut sur le système, qui sera probablement une des premières sécurités contourné par le virus.
    le 20/04/2011 à 20:29
  • Shepard
    Membre expérimenté
    J'espère que vous pardonnerez mon ignorance, mais quelles autres techniques existent pour détruire un botnet ? Mettre hors d'état tous les serveurs de "directives" me semble impossible vues (vu ? Je ne sais jamais si on accorde dans ce cas :p) les législations des différents pays dans lesquels ils sont générallement dispersés ...

    En tout cas, c'est bon à savoir que quelques batailles sont gagnées dans la guerre contre les botnets !
    le 16/04/2011 à 9:17
  • BugFactory
    Membre chevronné
    Envoyé par Katleen Erna
    Que pensez-vous de la technique utilisée ?
    Bien joué, dommage que ça n'ait pas permis l'arrestation des pirates. Je me demande quels moyens ont été nécessaires : est-il financièrement possible d'attaquer tous les botnets de la sorte?

    Envoyé par Katleen Erna
    Une arme anti-botnets sera-t-elle un jour découverte ?
    Sur ce, mon avis rejoint celui d'ArielD :
    Envoyé par ArielD
    le 18/04/2011 à 10:05
  • Louhike
    Membre habitué
    Envoyé par Shepard
    J'espère que vous pardonnerez mon ignorance, mais quelles autres techniques existent pour détruire un botnet ? Mettre hors d'état tous les serveurs de "directives" me semble impossible vues (vu ? Je ne sais jamais si on accorde dans ce cas :p) les législations des différents pays dans lesquels ils sont générallement dispersés ...

    En tout cas, c'est bon à savoir que quelques batailles sont gagnées dans la guerre contre les botnets !
    C'est "vu", qui est une exception à la langue française dans ce cas d'utilisation et ne s'accorde pas, tout comme ci-joint et un autre que j'ai oublié.

    EDIT : J'ai trouvé un lien sur cette règle : http://www.bertrandboutin.ca/Folder_151_Grammaire/D_a_acc_pp.htm#_PARTICIPE_PASSÉ_VU_EMPLOYÉ_SANS_AUX. Pour ceux qui ont la flemme, si "vu" est placé avant le nom, il n'est pas accordé.
    le 18/04/2011 à 14:11
  • marten.cylemb
    Membre régulier
    Malgré mon ignorance sur le sujet, il me semble qu'actuellement et que ce soit pour les virus, backdoors, botnet, etc les solutions trouvées ne sont à chaque fois que très spécifiques, dans ces conditions on voit mal comment une solution miracle pourrait voir le jour ?

    • Est ce qu'un schéma de reproductibilité existe ?
    • Comment créer une arme anti-botnet qui n'envahisse pas le quotidien ?
    • Comme garantir que cette arme ne s'attaquerais pas à des programmes qu'elle n'est pas censée gérer ?
    le 18/04/2011 à 17:53
  • YannPeniguel
    Membre éprouvé
    Envoyé par marten.cylemb
    Malgré mon ignorance sur le sujet, il me semble qu'actuellement et que ce soit pour les virus, backdoors, botnet, etc les solutions trouvées ne sont à chaque fois que très spécifiques, dans ces conditions on voit mal comment une solution miracle pourrait voir le jour ?

    • Est ce qu'un schéma de reproductibilité existe ?
    • Comment créer une arme anti-botnet qui n'envahisse pas le quotidien ?
    • Comme garantir que cette arme ne s'attaquerais pas à des programmes qu'elle n'est pas censée gérer ?
    Il existe effectivement des méthodes d'analyse anti-virus capables de repérer des comportements caractéristiques de virus pour en identifier de nouveaux, inconnus à la sortie de l'anti-virus et non-présent dans sa liste.

    http://fr.wikipedia.org/wiki/Logicie...ments_suspects
    le 18/04/2011 à 23:21
  • marten.cylemb
    Membre régulier
    Envoyé par Elepole
    Sa n'a jamais vraiment marché: trop de faux-positif: infact y'a tellement de programme qui ont un comportement de virus, trojan ou autre que finalement sa revient a avoir peur de son ombre. (et je parle même pas des anti-virus heuristique qui signale tout programme utilisant un packer telle que PKlite comme viral.
    C'est un peu ce que j'avais en tête oui, et c'est vraiment problématique. J'ai un peu l'impression que si on devait un jour partir vers ce genre de solutions, chaque utilisateur devrait se constituer sa propre white list dans le même principe que celles qu'on utilise pour nos pare-feux.

    Pas une mince affaire tout ça, surtout pour l'utilisateur lambda..
    le 19/04/2011 à 9:49
  Poster une réponse