Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct Nov  
News les Plus Populaires



Nouvelle attaque de Dorkbot



AVAST introduit un brin de magie dans l'optimisation des ordinateurs



Neutralisation du malware WireLurker pour Mac



Une vulnérabilité dans le protocole NAT-PMP met en danger 1,2 millions de routeurs



Découverte de Masque, une vulnérabilité grave dans iOS
 
 

  Page d'accueil / Actualité

Avez-vous vérifié si votre serveur n'était pas un bot ?

24.01.2013 13:18 MSK   |   comment

Un pack DDoS au nom imprononçable et la problématique de la robotisation des serveurs Web.

Prolexic a publié un bulletin d'informations consacré à itsoknoproblembro, un toolkit pour l'organisation d'attaques DDoS adopté l'année dernière par les individus malintentionnés. Le document contient les résultats de l'analyse du modus operandi et des scripts php individuels qui figurent dans le paquet. Il décrit également la topologie du réseau de zombies construit à l'aide du toolkit et explique comment détecter cette menace et prévenir les infections.

Comme nous l'avions déjà évoqué, itsoknoproblembro a participé aux attaques DDoS d'envergure menées en automne contre des banques américaines. L'offensive s'était poursuivie en décembre. Selon les données de Prolexic, ces attaques ont atteint un maximum de 70 Gbits/s et plus de 30 millions de paquets/s. Les premiers incidents impliquant itsoknoproblembro avaient été décelés par les experts il y a un an. Selon eux, ces campagnes DDoS visaient des hébergeurs et des représentants du secteur de l'énergie et elles étaient restées assez modestes. C'est à peu près à cette époque que cet outil assez dangereux fit son apparition en Russie.

Comme l'a démontré l'analyse, itsoknoproblembro permet de mener en parallèle des attaques DDoS à plusieurs niveaux contre plusieurs cibles. Il prend en charge des techniques d'attaque telles que POST, GET, TCP et UDP flood ou UDP flood avec ou sans serveurs proxy. Les attaques de type HTTP flood peuvent être combinées (alternance de requêtes GET et POST) et elles peuvent même utiliser des connexions sécurisées (https). Afin d'épuiser au maximum les ressources de la cible attaquée, le bot crée de nombreux flux à l'aide d'un système unique de commande et de contrôle à deux étapes. Après avoir reçu l'instruction d'attaque, il la reproduit plusieurs fois à l'aide du programme de ligne de commande standard cURL sur la machine infectée.

Dans le but de garantir une capacité de canal élevée en présence d'un nombre réduit d'ordinateurs infectés, les individus malintentionnés ont mis en place un réseau de zombies comptant plusieurs milliers de poste sur des serveurs Internet compromis. Ils ont introduit des scripts malveillants via des vulnérabilités connues dans les systèmes d'administration de sites tels que WordPress, Joomal, AWstats, Plesk, cPanel, phpMyFAQ, etc. D'après les informations de Prolexic, ce sont les vulnérabilités dans le modèle Bluestork (Joomla) et dans le module externe TimThumb (WordPress) qui sont le plus souvent utilisées. Il existe sur Internet une grande quantité de sites qui utilisent des versions dépassées du CMS et les cas où des ressources sont compromises en masse par le biais d'une vulnérabilité ne sont pas rares.

Selon les experts, le réseau de zombies qui repose sur itsoknoproblembro fonctionne en plusieurs étapes et ne possède pas une interface de commande standard. Une fois que la liste des noeuds infectés (Prolexic les a baptisés bRobot) est chargée sur le réseau de zombies, les scripts qui donnent l'instruction d'attaque sont activés. Diverses combinaisons de fichiers issus de la sélection commune sont installées sur les bRobot. Les responsables du bot y ont accès, ils vérifient l'état du bot et lancent l'attaque DDoS.

Tous les serveurs bots sont scindés entre contrôleurs et exécuteurs directs de l'attaque : les premiers envoient les commandes (adresse IP de la cible, durée de l'attaque, taille des paquets) destinées à des scripts concrets sur les nœuds du deuxième niveau. Afin d'épuiser au maximum les ressources de la cible, le bot crée de nombreux flux : une fois qu'il a reçu une instruction depuis le contrôleur, il la répète à plusieurs reprises en s'envoyant des requêtes via GET. De plus, les "exécuteurs" et les "contrôleurs" réalisent une permutation active P2P à l'issue de laquelle un changement de composition peut avoir lieu à chaque niveau. Un autre échelon du réseau de zombies contient des proxy HTTP ouverts que les auteurs de l'attaque utilisent pour masquer les sources du trafic DDoS.

Selon les prévisions de Prolexic, la popularité de itsoknoproblembro chez les auteurs des campagnes DDoS va continuer à augmenter et c'est pourquoi il faut commencer à lutter activement contre cette menace. Comme le montrent les statistiques, la durée de vie de bRobot dépasse actuellement 6 mois. La persistance de l'infection et les difficultés pour la supprimer dépendent du nombre et de la diversité des fichiers malveillants ainsi que du nombre de portes dérobées installées par les individus malintentionnés. L'utilisation de systèmes de gestion du contenu dépassés et vulnérables est un problème mondial et les experts invitent les développeurs à simplifier les procédures de mise à jour afin que les utilisateurs n'aient pas à modifier la configuration après chaque mise à jour une fois que la configuration personnelle a été réalisée. Le bulletin d'informations contenant le profil de itsoknoproblembro est accessible sur le site de Prolexic (enregistrement requis).

Source :

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com