Infos

KELIHOS UTILISE LES LISTES NOIRES CBL POUR EVALUER LES NOUVEAUX BOTS

Kelihos est ce botnet P2P qui n’en finit pas de se réincarner avec de nouvelles capacités qui lui permettent de se maintenir et de générer un revenu pour ses propriétaires en diffusant du courrier indésirable, en récoltant des informations d’identification et même en volant des bitcoins.

D’après plusieurs sources, Kelihos exploite désormais des services de sécurité légitimes et gratuits de gestion de listes CBL (Composit Blocking List) afin de confirmer si l’adresse IP d’une victime potentielle a déjà été signalée comme source de courrier indésirable ou proxy. Une liste CBL est une liste noire d’adresses IP dont l’implication dans la diffusion de courrier indésirable ou de programmes malveillants est confirmée.

« En ce qui me concerne, je n’ai jamais été témoin de l’utilisation d’une liste CBL, mais ce n’est pas un phénomène inconnu avec d’autres programmes malveillants. Il existe de nombreux chevaux de Troie ou virus qui enverront des commandes ping vers des services légitimes afin d’obtenir de plus amples informations sur une victime » explique Chris Mannon, chercheur en sécurité chez Zscaler.

Vu que les chercheurs en sécurité partagent souvent les données de ce genre, l’auteur d’une attaque sait que si une adresse IP passe avec un service, elle passera certainement avec la majorité des autres.

« L’auteur de l’attaque pourra voir si la victime est connue de la communauté de sécurité. Nous partageons tout. C’est la raison d’être de ces services. Je peux vérifier n’importe quelle adresse pour voir si elle est bonne. Si l’auteur de l’attaque trouve une victime dont l’adresse IP jouit d’une bonne réputation, il peut la détériorer en envoyant du courrier indésirable depuis celle-ci » a expliqué Chris Mannon.

Spamhaus, Mail Abuse Prevention System et quelques autres fournisseurs de services de liste noire gratuits sont actuellement exploités par Kelihos.

Chris Mannon explique : « Je sais que si Spamhaus n’a pas encore bloqué l’adresse IP de la victime, les autres services ne l’auront pas bloquée non plus ; le réseau de zombies pourra alors envoyer des messages non sollicités depuis cette adresse.

La longévité de Kelihos repose également sur l’utilisation de la communication P2P au lieu d’un ou de plusieurs serveurs de commande. Il est difficile de mettre des réseaux de zombies P2P hors service. Ces réseaux sont privilégiés non seulement par les bots de courrier indésirable, mais également par les groupes criminels impliqués dans la fraude financière, le vol d’identité ou les attaques DDoS. Un réseau de zombies P2P peut résister non seulement aux autorités judiciaires et policières, mais également aux experts en sécurité qui souhaitent énumérer ces réseaux d’ordinateurs compromis ou perturber leurs services.

Au début de ce mois, des chercheurs qui participent au blog Malware Must Die ont signalé d’autres modifications dans l’infrastructure de Kelihos, notamment une permutation du DNS du domaine de niveau supérieur .RU à .com et ils ont répertorié une douzaine de domaines .com et des centaines de sites .ru qui ont été retirés d’Internet. Ils étaient tous héberger aux Bahamas. Kelihos utilise également des noms de fichier et de registre différents pour éviter la détection, selon Lavasoft.

Des travaux de recherche récents ont porté sur la résilience de réseaux de zombies P2P et plus particulièrement Kelihos, ZeroAccess et Zeus, et ils ont mis en évidence les raisons de celle-ci. En général, les réseaux de zombies P2P communiquent à l’aide de protocoles personnalisés et chiffrés, ce qui complique l’analyse. Ils ne manquent pas non plus d’utiliser les services de réputation des pairs pour confirmer que les bots sont fiables et qu’ils ne figurent pas dans des listes noires. D’autres sont encore plus sophistiqués et utilisent un DNS à flux rapide ou des algorithmes de génération de domaine afin de mettre le réseau de zombies à l’abri des interruptions.

Lors de la conférence RSA 2013, Tillmann Werner, chercheur chez CrowdStrike, a présenté en direct une mise hors service de Kelihos. Il avait réussi à empoisonner une couche intermédiaire de serveurs proxy P2P qui communiquaient avec l’auteur de l’attaque. Il avait pour ce faire programmer un démon de type sinkhole qui se comportait comme un bot. Le démon envoyait les listes de pairs empoisonnées aux autres bots avec lesquels il communiquait, surtout des groupes d’adresses IP repris dans une liste noire et les envoyait vers un gouffre où ils disparaissaient à tout jamais.

Source: threatpost.com

KELIHOS UTILISE LES LISTES NOIRES CBL POUR EVALUER LES NOUVEAUX BOTS

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception