Infos

Compilation d’une liste de certificats SSL utilisés par les individus malintentionnés

Les opérateurs de programmes malveillants et de réseaux de zombies ne cessent de changer de tactique dans l’espoir deš garder une longueur d’avance sur les développeurs de technologies de protection. Une des techniques très répandue dans ce milieu consiste à adopter le protocole SSL pour communiquer avec les ordinateurs infectés. Les chercheurs du projet suisse Abuse.ch consacré à la sécurité informatique ont lancé une nouvelle initiative qui repose sur le suivi et la publication des certificats associés à des activités malveillantes.

La ressource SSL Black List (SSLBL) qu’ils ont mis sur pied offre un accès à une liste noire créée sur la base des enregistrements d’une base de données générales. Chaque enregistrement renferme le cache SHA-1 du certificat ainsi qu’une description de la raison pour laquelle il figure dans la base (par exemple, centre de commande ZeuS ou Vawtrak MITM). A l’heure actuelle, la base d’Abuse.ch compte près de 130 certificats SSL, associés pour la majorité à des réseaux de zombies et des programmes malveillants connus tels que Shylock, KINS ou ZeuS.

Dans un communiqué, Abuse.ch déclare : "La tâche de la liste SSLBL est d’identifier les "mauvais" SHA-1 des certificats souvent associés aux activités de programmes malveillants et de réseaux de zombies. Pour l’instant, SSLBL prend en charge les listes noires d’adresses IP et de caches SHA-1 au format CSV et au format de règles Suricata. SSLBL permet d’identifier avec un coefficient de certitude élevé le trafic de commande des réseaux de zombies qui utilisent SSL comme KINS (ou VMZeuS) et Shylock".

Ces dernières années, les experts ont cherché à renforcer le système de certificationš fragile. Ainsi, Google a proposé d’introduire le concept de certificate transparency (transparence des certificats) et de rendre les listes de certificats publiques. Ce système suppose la tenue d’un journal ouvert qui reprendrait tous les certificats émis et repose sur la coopération volontaire des centres de certification.

"Une fois mis en œuvre, Certificate Transparency peut offrir une protection contre plusieurs menaces impliquant des certificats, dont l’octroi erroné et malveillant de certificat ou les centres de certification malveillants" précisent les développeurs. Ces menaces peuvent avoir un impact sur la responsabilité financière des propriétaires des domaines, nuire à la réputation de centres de certification légitimes et exposer les internautes à un large éventail d’attaques comme les attaques de substitution de sites, d’imitation de serveur ou d’homme au milieu.

Threatpost

Compilation d’une liste de certificats SSL utilisés par les individus malintentionnés

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception