211service.com
Des chercheurs détournent un botnet drive-by
En infiltrant un réseau informatique criminel visant à infecter les visiteurs de sites Web légitimes, des chercheurs universitaires ont pu se faire une idée directe de l'ampleur et de la portée de ce que l'on appelle le téléchargement intempestif. Ils ont trouvé plus de 6 500 sites Web hébergeant du code malveillant qui ont redirigé près de 340 000 visiteurs vers des sites malveillants.
Le téléchargement intempestif implique le piratage d'un site légitime pour installer secrètement un logiciel malveillant sur les machines des visiteurs ou les rediriger vers un autre site.
Dans un article non publié, des chercheurs de l'Université de Californie à Santa Barbara décrivent une étude de quatre mois dans laquelle ils ont connecté leurs serveurs à un ensemble d'ordinateurs compromis connus sous le nom de botnet Mebroot. Parmi leurs découvertes, les chercheurs ont découvert que, alors que les sites les plus sordides sur Internet (ceux qui hébergent du porno et des téléchargements illégaux) étaient les plus efficaces pour rediriger les utilisateurs vers un site de téléchargement malveillant, les sites commerciaux étaient plus courants parmi les référents compromis.
Il était une fois, vous pensiez que si vous ne parcouriez pas le porno, vous seriez en sécurité, dit Giovanni Vigna , professeur d'informatique à l'UCSB et l'un des auteurs de l'article. Mais rester à l'écart des endroits miteux sur Internet n'est plus une assurance de rester en sécurité.
Découvert pour la première fois par des chercheurs fin 2007, le réseau Mebroot utilise des sites Web compromis pour rediriger les visiteurs vers des serveurs de téléchargement centralisés qui tentent d'infecter l'ordinateur de la victime. Le logiciel malveillant, nommé pour sa tactique consistant à infecter le master boot record (MBR) d'un ordinateur Windows, montre des signes de programmation professionnelle, y compris un cycle rapide de débogage, selon les chercheurs.
C'est certainement l'un des botnets les plus avancés et les plus professionnels, déclare Kimmo Kasslin, directeur de la réponse à la sécurité pour la société antivirus F-Secure, basée à Helsinki, en Finlande.
En utilisant une variété de méthodes, les criminels derrière Mebroot infectent des serveurs Web légitimes avec du code Javascript. Le code redirige les visiteurs vers un domaine Internet différent, qui change chaque jour, et où un serveur malveillant tente de compromettre leur ordinateur avec un programme qui fournit aux propriétaires du botnet un contrôle à distance sur cette machine.
La technique de génération de domaine personnalisé est un moyen relativement sophistiqué de déjouer les tentatives de fermeture permanente du réseau, selon les chercheurs. Les anciens schémas de téléchargement au volant ont redirigé les victimes vers une adresse Web codée en dur. Plutôt qu'une adresse statique, le Javascript utilisé par Mebroot génère une nouvelle adresse chaque jour, similaire à l'algorithme de domaine utilisé par un autre ordinateur nuisible appelé Conficker. Cependant, comme l'algorithme repose sur des entrées connues, à savoir les domaines de date, les domaines peuvent être précalculés, ce qui aide les défenseurs. Le groupe de travail Conficker, par exemple, a tenté de réserver les futurs domaines au moins un mois à l'avance.
Au cours des quatre mois où les chercheurs ont étudié Mebroot, le réseau d'infection a utilisé trois algorithmes de génération de domaine différents, dont deux n'utilisaient que la date du jour comme entrée. La dernière variante, cependant, ajoute une variable qui ne peut pas être facilement devinée longtemps à l'avance : les deuxièmes caractères du terme de recherche le plus populaire du jour sur Twitter.
Ils (les créateurs de Mebroot) ont utilisé une variable qui ne contrôlait pas les méchants ou les gentils, explique Marco Cova, étudiant à l'UCSB et co-auteur de l'article.
Après avoir procédé à l'ingénierie inverse de l'algorithme de génération de domaine, les chercheurs ont temporairement détourné Mebroot en reflétant les étapes suivies par les sites Web compromis pour calculer le domaine du jour et enregistrer ces domaines eux-mêmes. Mais les chercheurs ont remarqué que lorsqu'ils enregistraient un domaine pour leurs serveurs de gouffre, le gang Mebroot réagirait en enregistrant les futurs domaines plus rapidement.
Les chercheurs ont également pu dresser le profil de la victime type du réseau. Près de 64 % des visiteurs redirigés vers les serveurs des chercheurs exécutaient Windows XP, tandis que 23 % utilisaient Windows Vista. Les deux systèmes d'exploitation suivants les plus populaires étaient Mac OS X 10.4 Tiger et Mac OS X 10.5 Leopard, qui représentaient 6,4 % de tous les visiteurs.
Les chercheurs n'ont jamais compromis les systèmes des visiteurs. Mais ils ont pu trouver des preuves qu'ils avaient été infectés en analysant deux types d'informations envoyées sur le réseau. L'un d'eux a suggéré que 6,5% des visiteurs étaient infectés par des logiciels malveillants. L'autre a indiqué que 13.3. pour cent des systèmes avaient été modifiés par des fichiers malveillants ou indésirables. De plus, plus de la moitié (environ 54 %) exécutaient une sorte de logiciel antivirus. Environ 12% des personnes exécutant le logiciel de sécurité ont également été infectées par des logiciels malveillants, ont découvert les chercheurs.
Les chercheurs ont également découvert que près de 70 % des personnes redirigées par Mebroot, classées par adresse Internet, étaient vulnérables à l'une des 40 vulnérabilités régulièrement utilisées par les boîtes à outils d'infection les plus populaires conçues pour compromettre les systèmes informatiques. Environ la moitié de ce nombre était vulnérable aux six vulnérabilités spécifiques utilisées par la boîte à outils Mebroot.
La recherche suggère que les utilisateurs doivent mettre à jour plus souvent, selon Vigna de l'UCSB.
Les correctifs sont très efficaces pour réduire l'exposition des utilisateurs finaux, mais les utilisateurs ne sont pas très doués pour mettre à jour leur système, dit-il.