Infos

Neutrino trompe les chercheurs

Comme l’ont découvert les experts de Trustwave, le kit d’exploitation Neutrino s’est doté d’un nouveau module capable de bloquer les tentatives de connexion de serveurs à des fins d’analyse. Les individus malintentionnés ont introduit un filtre de paquets TCP qui réalise une analyse passive des empreintes numériques du système d’exploitation de l’expéditeur et isole les requêtes en provenance d’ordinateurs Linux.

Au milieu du mois de janvier, des experts de la division SpiderLabs de la société ont remarqué une réduction sensible du nombre de serveurs actifs exploités dans les attaques Neutrino. Cette baisse inattendue a amené les chercheurs à se pencher un peu plus sur ce kit d’exploitation actif actuellement, mais pas trop agressif. Il se fait que les ordinateurs du laboratoire de SpiderLabs n’ont jamais réussi à établir une connexion avec des serveurs reconnus de Neutrino, alors que tout le matériel fonctionnait bien et que des connexions à d’autres sites avaient pu être ouvertes sans problèmes. De plus, les tentatives d’activation du kit d’exploitation depuis des ordinateurs Windows vulnérables débouchaient quant à elles sur une infection et le comportement de Neutrino dans ces cas était normal.

Pensant qu’il fallait chercher les causes du problème dans le laboratoire, les chercheurs ont commencé à modifier les adresses IP et les navigateurs, mais en vain. La cause a pu seulement être identifiée lors de la comparaison entre le trafic des ordinateurs exploités (Windows) et celui des ordinateurs du laboratoire : il se fait que Neutrino utilise désormais un module iptables OSF, capable d’identifier le système d’exploitation d’un noeud distant. S’il s’avère qu’il s’agit d’un ordinateur Linux, la tentative de connexion est tout simplement bloquée.

D’après Daniel Chechik, de chez Spider Labs, « le filtrage des ordinateurs Linux a un sens pour le kit d’exploitation. Les ordinateurs Linux sont souvent des solutions de protection, des serveurs ou d’autres types d’ordinateur qui ne conviennent pas pour le rôle de victime potentielle. Cette méthode permet de limiter les possibilités d’étude, qu’il s’agisse d’un balayage automatique ou d’une attention non sollicitée de la part de chercheurs en sécurité de l’information.

Ce n’est pas la première fois que les opérateurs de kits d’exploitation tentent de protéger leurs serveurs contre les visites indésirables mais en général, d’après SpiderLabs, ces mesures de protection sont mises en oeuvre au niveau HTTP via la redirection vers une ressource neutre ou une fausse page d’erreur. Le transfert de la protection au niveau TCP est une démarche habile : si le serveur ne répond pas, cela signifie qu’il est probablement inactif.

« Dans la mesure où les kits d’exploitation changent parfois très vite d’emplacement, il est fort probable que ce genre de comportement soit interprété comme un serveur inactif et Neutrino atteint son objectif : tous ceux qui ne sont pas des victimes potentielles le laissent en paix » résume Daniel Chechik.

Comme nous l’avons déjà dit, le kit d’exploitation Neutrino est moins actif que les leaders du marché que sont Angler et Nuclear, mais il intervient souvent dans la propagation de malwares biens réels. Ainsi, au mois de juin de l’année dernière, Neutrino a diffusé le célèbre malware bancaire ZeuS, en août, CryptoWall 3.0 et en septembre TeslaCrypt.

Source: Networkworld

Neutrino trompe les chercheurs

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception