Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Jeu de chaises musicales chez les spammeurs

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Après la chute de l’hébergeur McColo, les propriétaires de Srizbi, l’un des botnets les plus importants, ont tenté de récupérer leur création. Pour la perdre à nouveau cette semaine.


Lorsque l’hébergeur pro-spam McColo a été coupé du réseau, plusieurs botnets se sont retrouvés sans centre de commandement et de contrôle (C&C). Parmi eux, l’un des plus massifs : Szribi.

     

Certes, les milliers d’ordinateurs infectés à travers la planète le sont toujours, mais sans serveur de commandement les pirates n’ont plus aucun moyen de les contrôler pour, par exemple, leur ordonner de cracher du spam. Le botnet est donc mort.

Mais les créateurs de Szribi avaient prévu un tel revers : une routine dans le code des bots prévoyait que, privés de contact avec leur C&C pendant assez longtemps, ils devraient commencer à générer une série de noms de domaine selon un algorithme déterminé au préalable, et tenter des les contacter les uns après les autres jusqu’à ce que l’un d’eux réponde.

Munis du même algorithme, les propriétaires de Szribi peuvent alors prévoir les prochains noms de domaine et les déposer, afin de les faire ensuite pointer vers leur nouveau serveur de C&C.

C’était toutefois sans compter sur les experts de la société FireEye, aux Etats-Unis. Ceux-ci ont analysé le code du bot et identifié l’algorithme de génération des noms de domaines. Cela leur a permit, pendant quelques temps, d’avoir une longueur d’avance sur les pirates : FireEye a déposé environ deux cent noms de domaines avant les propriétaires du botnet, empêchant ces derniers de mettre la main dessus. Mais la société a estimé que cela lui revenait trop cher et a arrêté sa tactique.

Les pirates en ont bien évidemment profité pour déposer les cinq prochains domaines générés par l’algorithme et les faire pointer vers un nouveau serveur de commandement situé chez Starline Web Services, un petit hébergeur basé en Estonie.

Toutefois, Starline semble ne pas être l’un de ces hébergeurs véreux à la solde des pirates : contactée par le CERT Estonien la société a déconnecté à nouveau le C&C de Szribi, décapitant pour la seconde fois le botnet.

Inutile toutefois de crier victoire pour autant : les niveaux de spams semblent revenus à leurs valeurs habituelles, notamment parce que Rustock, l’autre botnet neutralisé lors de l’affaire McColo, aurait repris les affaires. Un fournisseur d’accès suédois aurait en effet brièvement reconnecté McColo à l’Internet, avant de se faire lui aussi couper du monde. Mais cela aurait laissé le temps aux propriétaires de Rustock de faire pointer les bots vers un C&C désormais basé en Russie.

Mais ces affaires marquent probablement un tournant dans la lutte contre les botnets. Les rouages entre chercheurs, CERTs, éditeurs et autorités semblent déjà mieux fonctionner et la pression sur les hébergeurs véreux est plus efficace. Et des discussions seraient en court afin d’évaluer les actions à mener lors des prochains scénarios de ce type, notamment en impliquant les registrars afin de déposer de manière préventive un grand nombre de noms de domaine sans devoir les payer (ce que les spammeurs savent pourtant déjà faire depuis longtemps !)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à Jeu de chaises musicales chez les spammeurs

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.