Infos

Avez-vous vérifié si votre serveur n’était pas un bot ?

Un pack DDoS au nom imprononçable et la problématique de la robotisation des serveurs Web.

Prolexic a publié un bulletin d’informations consacré à itsoknoproblembro, un toolkit pour l’organisation d’attaques DDoS adopté l’année dernière par les individus malintentionnés. Le document contient les résultats de l’analyse du modus operandi et des scripts php individuels qui figurent dans le paquet. Il décrit également la topologie du réseau de zombies construit à l’aide du toolkit et explique comment détecter cette menace et prévenir les infections.

Comme nous l’avions déjà évoqué, itsoknoproblembro a participé aux attaques DDoS d’envergure menées en automne contre des banques américaines. L’offensive s’était poursuivie en décembre. Selon les données de Prolexic, ces attaques ont atteint un maximum de 70 Gbits/s et plus de 30 millions de paquets/s. Les premiers incidents impliquant itsoknoproblembro avaient été décelés par les experts il y a un an. Selon eux, ces campagnes DDoS visaient des hébergeurs et des représentants du secteur de l’énergie et elles étaient restées assez modestes. C’est à peu près à cette époque que cet outil assez dangereux fit son apparition en Russie.

Comme l’a démontré l’analyse, itsoknoproblembro permet de mener en parallèle des attaques DDoS à plusieurs niveaux contre plusieurs cibles. Il prend en charge des techniques d’attaque telles que POST, GET, TCP et UDP flood ou UDP flood avec ou sans serveurs proxy. Les attaques de type HTTP flood peuvent être combinées (alternance de requêtes GET et POST) et elles peuvent même utiliser des connexions sécurisées (https). Afin d’épuiser au maximum les ressources de la cible attaquée, le bot crée de nombreux flux à l’aide d’un système unique de commande et de contrôle à deux étapes. Après avoir reçu l’instruction d’attaque, il la reproduit plusieurs fois à l’aide du programme de ligne de commande standard cURL sur la machine infectée.

Dans le but de garantir une capacité de canal élevée en présence d’un nombre réduit d’ordinateurs infectés, les individus malintentionnés ont mis en place un réseau de zombies comptant plusieurs milliers de poste sur des serveurs Internet compromis. Ils ont introduit des scripts malveillants via des vulnérabilités connues dans les systèmes d’administration de sites tels que WordPress, Joomal, AWstats, Plesk, cPanel, phpMyFAQ, etc. D’après les informations de Prolexic, ce sont les vulnérabilités dans le modèle Bluestork (Joomla) et dans le module externe TimThumb (WordPress) qui sont le plus souvent utilisées. Il existe sur Internet une grande quantité de sites qui utilisent des versions dépassées du CMS et les cas où des ressources sont compromises en masse par le biais d’une vulnérabilité ne sont pas rares.

Selon les experts, le réseau de zombies qui repose sur itsoknoproblembro fonctionne en plusieurs étapes et ne possède pas une interface de commande standard. Une fois que la liste des noeuds infectés (Prolexic les a baptisés bRobot) est chargée sur le réseau de zombies, les scripts qui donnent l’instruction d’attaque sont activés. Diverses combinaisons de fichiers issus de la sélection commune sont installées sur les bRobot. Les responsables du bot y ont accès, ils vérifient l’état du bot et lancent l’attaque DDoS.

Tous les serveurs bots sont scindés entre contrôleurs et exécuteurs directs de l’attaque : les premiers envoient les commandes (adresse IP de la cible, durée de l’attaque, taille des paquets) destinées à des scripts concrets sur les nœuds du deuxième niveau. Afin d’épuiser au maximum les ressources de la cible, le bot crée de nombreux flux : une fois qu’il a reçu une instruction depuis le contrôleur, il la répète à plusieurs reprises en s’envoyant des requêtes via GET. De plus, les « exécuteurs » et les « contrôleurs » réalisent une permutation active P2P à l’issue de laquelle un changement de composition peut avoir lieu à chaque niveau. Un autre échelon du réseau de zombies contient des proxy HTTP ouverts que les auteurs de l’attaque utilisent pour masquer les sources du trafic DDoS.

Selon les prévisions de Prolexic, la popularité de itsoknoproblembro chez les auteurs des campagnes DDoS va continuer à augmenter et c’est pourquoi il faut commencer à lutter activement contre cette menace. Comme le montrent les statistiques, la durée de vie de bRobot dépasse actuellement 6 mois. La persistance de l’infection et les difficultés pour la supprimer dépendent du nombre et de la diversité des fichiers malveillants ainsi que du nombre de portes dérobées installées par les individus malintentionnés. L’utilisation de systèmes de gestion du contenu dépassés et vulnérables est un problème mondial et les experts invitent les développeurs à simplifier les procédures de mise à jour afin que les utilisateurs n’aient pas à modifier la configuration après chaque mise à jour une fois que la configuration personnelle a été réalisée. Le bulletin d’informations contenant le profil de itsoknoproblembro est accessible sur le site de Prolexic (enregistrement requis).

Source :

Avez-vous vérifié si votre serveur n’était pas un bot ?

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception