articles
réactions
Jeff - 18.02.2008 | 0 réactions | #link | rss

C'est un sujet récurrent chez moi, je sais...

Mais voici 2 articles intéressants:

  • le premier revient sur l'achat d'outils d'attaques. On connaissait les MPacks et autres toolkits agressifs (Italian job, etc...). Mais il est également possible d'acheter ou de louer des botnets (koica? Allez voir cet article) pour du spam et pour pas cher. Vous vous rappelez sans doute ces mails d'intox que vous recevez de temps en temps? On les appelle des "hoaxes" (voir hoaxbuster), et leur objectif est à la fois d'engorger les serveurs mails (cas d'attaques ciblées) mais également de récupérer vos adresses email (du fait que tout le monde se les transmet).
    Du coup, à l'autre bout de la chaîne, il suffit de récolter tout cela pour le revendre ensuite. Simple comme bonjour.

  • le second revient sur la vente d'exploits, à savoir des failles non publiques sur des logiciels courants. Ici, mode oblige, il s'agit de Windows Vista. Et les prix vont d'une poignée de dollars à plusieurs dizaines de milliers; quand on sait que Windows Vista n'est à ma connaissance pas encore déployé dans les entreprises, on comprendra que les cibles de ces attaques sont les utilisateurs de base, à savoir vous et moi. Si vous avez Vista :)

    Pour finir, je citerai ce vendeur d'antivirus qui se plaint de la situation: "I think the malware industry is making more money than the anti-malware industry". Sortez les mouchoirs.



Pour aller plus loin, certains seront intéressés par ces quelques liens:

  • Pour mieux connaitre MPack, allez voir ce site en Francais (oué), cette note du SANS, ce billet du CERT, l'interview d'un des codeurs, cette alerte de Websense, voir même une copie de l'outil. Attention, regardez-le à vos risques et périls, mais surtout n'espérez pas le ré-utiliser maintenant que toutes les failles ont été corrigées...

  • Le marché noir: de nombreux sites existent pour ces échanges, les plus sérieux étant d'un accès restreint (mais pas difficiles à trouver). Cherchez les forums de carding, par exemple: celui-ci, celui-là, etc. Il existe aussi des channels IRC, sur EFnet, Undernet, DALNet par exemple, où se vendent des listes entières de numéros de cartes de crédit, emails, systèmes, etc. Vous ne me croyez pas? Et si c'était vous sur ces images?



  • Parmi les sujets récurrents dans le milieu des apprentis pirates, celui de la fraude à la publicité est incontournable. En effet, les botnets peuvent avoir de multiples usages (envoyer du spam, relayer, faire des attaques par déni, etc) et certains ont logiquement essayé de les utiliser pour générer de faux clicks sur des bannières de publicité dynamiques (type adsense, Google adwords, etc). Les propriétaires étant rémunérés au nombre de clicks, l'intérêt est évident, mais la technique l'est moins.
    La littérature à ce sujet est assez importante, mais il est intéressant de citer ce paper de Hotbots 2007


Jeff - 19.12.2007 | 0 réactions | #link | rss

Alors, tu cliques ici, tu copies là, tu tapes entrée... et c'est tout bon mon petit.

Ou presque.

Ici, c'est là en fait: http://www.ipasvi.roma.it/ita/plugins/spamx/fran2.txt
ou encore http://defaced.serapis.net/filez/scan_bot/Pitbullbot.txt

Voyons. Publique. RFI scanner (pour "remote file include/inclusion") automatisé (bot). Pas mal tout ca, bonne pêche. Encore des gens qui s'acharnent sur les forums en PHP qui fleurissent un peu partout. Par contre, l'italien et moi ca fait 2, et il y a pas mal de caractères bizarres plus bas. Qu'à cela ne tienne, super gogol (Google) à la rescousse, me dit que cela ressemble à la page:

http://nationwide-contest.net/brap6.pl


Page qui n'existe plus, bien sûr, sauf que la mémoire divine de super gogol me donne toujours accès à la version en cache et là, paf! "PRIVATE" version... Gnarf gnarf gnarf...

Quel intérêt me dira-t-on? Euh... En fait, je trouvais juste les fonctions de recherche sympa...

Et pis, on peut creuser plus loin, hein. A partir de "The_Pitbull" et autres charmants acronymes trouvés dans le code, on remonte à des choses bien plus croustillantes:

  • Des forums d'échanges, où l'on peut même trouver une version spéciale pour Noel (qui a dit que les hackers ne croyaient plus au Père Noel?)

  • Des pseudo-sites webs contenant des listes de commandes ou des configurations

  • Des versions modifiées qui ont changé de nom

  • Des web shells PHP bien connus (suivez mon regard -china c'est pour toi-).

  • Des gens qui l'ont testé pour vous (mais que je ne citerai pas). Si si!!


Noel avant l'heure, vous dis-je!
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch