Un nouveau Botnet fonctionnant en peer to peer SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Virus

Un nouveau Botnet fonctionnant en peer to peer

Par Ludovic Blin, secuobs.com
Le 20/05/2006

Résumé : Le ver Nugache met en place un botnet fonctionnant selon une architecture de type peer to peer, et rend l’observation des communications entre ses membres plus difficile. - Lire l'article

Version imprimable de cet article
Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Virus en RSS

Le ver Nugache met en place un botnet fonctionnant selon une architecture de type peer to peer, et rend l’observation des communications entre ses membres plus difficile.

De nos jours, la plupart des malwares ont pour fonction de prendre le contrôle de la machine sur laquelle ils sont implantés pour lui faire rejoindre un réseau d’ordinateurs « zombis » ou « botnets ».

Par la suite, ces systèmes pourront être utilisés pour réaliser des attaques par déni de service distribué (DdoS) ou encore pour anonymiser des connexions.

La plupart des « bots » permettent également l’installation d’outils logiciels supplémentaires comme des collecteurs de mots de passes (keylogger) et d’informations personnelles.

Ces réseau, qui peuvent parfois rassembler des centaines de milliers d’ordinateurs (voire probablement des millions) était à l’origine contrôlés par le biais d’un canal IRC ou se connectaient tous les zombies pour prendre leurs instructions.

Mais cette méthode à vite révélé ses limites, les instructions passant en clair. Il est donc possible dans certains cas d’observer ces botnets, de prendre leur contrôle, ou encore plus facilement de les désactiver en touchant directement au serveur de contrôle centralisé.

Le ver Nugache, récemment découvert est un exemple récent des nouvelles techniques qui sont implémentés par les cyber-criminels pour préserver le contrôle et l’intégrité de leurs botnets.

Ce dernier utilise un mécanisme de communication de type peer to peer pour transmettre les ordres aux différents membres du réseau.

Pour commencer il fait appel à 22 hôtes dont les adresses IP ont été intégrées dans le code, et n’utilise pas le système DNS. A partir de ces premières connexions, il va pouvoir obtenir les adresses des autres membres du réseau.

Les communications entre ces membres sont au minimum encodées, ne laissant apparaître aucune chaîne de caractère directement reconnaissable. Le logiciel est en écoute sur le port 8 TCP. Il se propage en utilisant notamment la messagerie instantanée d’AOL, AIM mais des nouvelles fonctionnalités peuvent être ajoutées par ce mécanisme peer to peer.

Ce ver n’est pas le premier à implémenter des mécanismes p2p, Slapper, Sinit, ou encore Agobot l’ont fait avant, mais il semblerait que les botnets deviennent de en plus difficiles à observer et à désactiver.

Les mots clés pour les articles publiés sur SecuObs : botnet
Les articles de la revue de presse sur les mots clés : botnet
Les videos sur SecuObs pour les mots clés : botnet
Les éléments de la revue Twitter pour les mots clés : botnet
Voir tous les articles de "Ludovic Blin" publiés sur SecuObs (269 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (998 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Virus en RSS

- Article suivant : Le haut débit va plus vite que prévu et le très haut débit se prépare
- Article précédent : Un tribunal français condamne un registrar us pour un cas de cybersquatting
- Article suivant dans la catégorie Virus : Une faille 0day découverte dans Word et combinée avec un rootkit
- Article précédent dans la catégorie Virus : Mc Afee annonce la sortie d’un antivirus pour Mac OS X

Les derniers commentaires de la catégorie Virus:

- ESRT @hacktalkblog - New Exploit remote - F-Secure Multiple Products ActiveX SEH Overwrite Vulnerability Heap Spray ... - ESRT @xanda @taviso - the paper of my Blackhat talk, if you're evaluating or deploying Sophos you might check it out ... - ESRT @jduck1337 - CA ARCserve D2D r15 GWT RPC Multiple Vulnerabilities ... - ESRT @revskills @secbydefault @aramosf - X.Org security advisory: root hole via rogue hostname ... - DHCP client allows shell command injection ...

Les derniers articles de la catégorie Virus :

- Une famille de codes malicieux ciblant à la fois les systèmes Windows et Mac OS X - Un Botnet utilisant le réseau d’anonymisation et les services cachés de Tor - Une nouvelle forme de code malicieux exploitant Debian Squeeze et NGINX - Un premier ver pour l’iPhone - SCS, un scanner pour déterminer si un poste est contaminé par Conficker - Une nouvelle variante de Conficker en circulation - Downadup/Conficker, un ver qui fait des étincelles - Un code malveillant modifie les DNS via un faux serveur DHCP, déjà 1 million de victimes - Des publicités Google Adsense pour le malware Antivirus XP 2008 - Microsoft One Care le parent pauvre des antivirus + d'articles de la catégorie Virus

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre + de mots clés avec l'annuaire des articles publiés sur SecuObs

Mini-Tagwall de l'annuaire video :

curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter