Les attaques MALfi utilisées pour le déploiement de Botnets jetables à usage unique, une nette tendance pour la cybercriminalité

Par Xavier Poli, secuobs.com
Le 16/11/2009

---

Résumé : Les attaques MALfi combinent RFI, LFI, XSA et RCE pour compromettre des sites Web et les serveurs sous-jacents. Les cibles ne sont compromises que temporairement, réduisant ainsi les risques de détection tout en augmentant les probabilités de réussite pour de futures ré-exploitations. - Lire l'article



Au sein du paysage déjà riche des menaces, les attaques MALfi (Mal file intrusion) se sont imposées récemment comme une nette tendance pour la cybercriminalité. MALfi est un terme décrivant de façon générique la combinaison d'attaques RFI ( Remote File Inclusion - lien ), LFI ( Local File Inclusion - lien ), XSA ( Cross Server Attack - lien ) et RCE ( Remote Code Execution - lien ) en vue de compromettre de façon temporaire des sites Web et les serveurs sous-jacents.

Selon les estimations de HostExploit ( lien ), entre deux cent mille et trois cent cinquante mille sites Web, voir les systèmes les hébergeant, auraient déjà été compromis par ce biais au cours des derniers mois. Cent mille attaques auraient été identifiées, impliquant deux millions six cent mille scans et deux mille quatre cents IP provenant de quatre-vingt-cinq pays et neuf cent onze ASN ( Autonomous System Number - lien ) différents. Les Etats-Unis sont ici les plus prolifiques.

Les techniques utilisées ne sont pas nouvelles, il faut cependant noter qu'elles sont de plus en plus utilisées pour le déploiement de Botnets ( lien ) jetables à usage unique. Initialement, ces attaques vont scanner ( cf. Dorkz & Goolag - lien ) de façon continuelle des sites Web à la recherche de vulnérabilités RFI. Une fois les brèches découvertes, une interface utilisateur distante est alors mise en place pour permettre le contrôle total ou partiel du système par les attaquants.

Un ensemble d'outils adéquats est ensuite chargé sur le serveur afin d'effectuer des activités malicieuses classiques comme l'envoi de SPAM, des opérations de Phishing, de l'hébergement de codes malicieux, du vol d'identité ou bien encore des attaques par Déni de Service Distribué ( DdoS - lien ). Lors de cette étape, les attaques XSA, LFI et RCE précédemment citées vont permettre elles d'accentuer la compromission locale et aider à trouver de nouveaux serveurs à infecter.

Une fois ces activités terminées, le dispositif sera désinstallé, ou va s'auto-détruire, afin d'éviter d'éventuelles détections. Dans un contexte de contrôle total du système, l'effacement des traces est de plus facilitée. Les cible vulnérables auront dès lors plus de chances d'être ré-exploitables ultérieurement. Les mêmes vulnérabilités RFI permettront de tout réinstaller, offrant ainsi des perspectives de réutilisation et de revente pour les listes de cibles potentiellement exploitables.

Le rapport « Cyber Crime Series - MALfi Report - Public Version 5.0 » ( formulaire à remplir - lien )

Source : Compte Twitter securitypro2009 ( lien )