pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Les chevaux de Troie soignent aussi leur aspect mercantile

Jeudi 30 juin 2011

(Attention: Cet article est un peu long et technique.)

En 2009, je vous avait brièvement parlé du virus Conficker qui était déjà une belle saloperie. En deux ans, on a vu apparaître de nombreux autres virus enrôlant les PC dans des botnets, par exemple Zeus. Et ils ont fait de gros progrès, surtout techniques (par exemple en matière de furtivité et de protection contre le traçage).

Kaspersky vient de décortiquer la dernière version d'un des chevaux de Troie les plus évolués: TDL4. Voici un résumé de ses caractéristiques:

  • TDL4 est la quatrième version du virus. À elle seule, cette version a infecté plus de 4,5 millions d'ordinateurs dans les trois premiers mois de 2011.
  • Il est capable d'infecter aussi bien les systèmes 32 que 64 bits.
  • Il infecte le secteur d'amorce (MBR): Le virus se charge avant le système d'exploitation, et donc avant les antivirus. Cela le rend bien plus résistant et plus difficile à détecter.
  • Il utilise différentes techniques pour éviter la détection par signatures, mais aussi pour éviter les détections heuristiques et pro-actives. Il contourne même le système PatchGuard de Microsoft ainsi que le système de vérification d'intégrité de Windows.
  • Il masque certains fichiers et clés de registre, qui deviennent invisibles aux antivirus.
  • Il injecte son code directement dans les processus du système d'exploitation: Les fichiers système sont donc sains sur disque, mais infectés dès qu'ils sont chargés en mémoire.
  • Il masque l'ouverture de ports TCP. Il est capable de filtrer les paquets réseaux avant que le système d'exploitation ne les obtienne, ce qui lui donne un contrôle total du réseau.
  • Raffinement: Pour éviter d'attirer l'attention, il recherche et dé-installe une vingtaine de chevaux de Troie concurrents (Gbot, ZeuS, Clishmic, Optima...). Il va même jusqu'à bloquer l'accès aux serveurs de contrôle de ses concurrents en manipulant le fichier hosts. Double avantage pour lui: Il vire la concurrence et réduit les risques d'alerte par l'antivirus.
  • TDL profite des antivirus: TDL est lui-même indétectable aux antivirus, et les antivius présents (ou installés ultérieurement) empêche des botnets concurrents de s'installer. Finalement, les antivirus bossent pour TDL.
  • Il utilise son propre système de fichiers chiffré pour stocker ses données, rendant son analyse plus compliquée. Il ne dépend pas de FAT et NTFS.
  • L'auteur met à jour régulièrement TDL pour parer aux détections par les antivirus. En prime, TDL prend soin de ne se mettre à jour que lorsqu'il y a de l'activité réseau générée par un navigateur ou WindowsUpdate, afin d'éviter d'attirer l'attention.
  • Les communications avec le centre de contrôle se font en HTTPS, auquel le programme ajoute un chiffrement maison, empêchant la détection des flux réseaux par les antivirus et IDS. En prime, la clé de chiffrement pour communiquer avec le serveur est différente pour chaque installation de TDL, rendant l'analyse du trafic réseau impossible.
  • Il permet bien sûr le contrôle total du PC à distance, avec des commandes chiffrées (encryptées).
  • Il est capable d'intercepter les recherches faites sur internet et de modifier à la volée les résultats de recherche. Et il connaît un grand nombre de moteurs de recherche (Google, Bing, Yahoo, Facebook, Live, Dogpile, YouTube, Wikipedia...)
  • Il manipule également à la volée les bannière publicitaires et peut les changer. Ce qui permet aux auteurs de gagner un maximum d'argent en fraudant les régies publicitaires.
  • Il simule des clics utilisateur dans les pages de moteurs de recherche afin de faire remonter les faux antivirus dans les résultats de recherche Google (techniques de SEO).
  • L'auteur de TDL garde le contrôle des machines. Il loue ensuite son réseau de machines infectés. Ceux qui louent ce réseaux peuvent injecter leurs propres exécutables (payload). L'auteur de TDL peut dé-installer à tout moment un payload. Parmis les payloads qu'on peut injecter (on en recense une trentaine), on peut trouver des programmes pour manipuler le trafic de sites web (pour gagner de l'argent ou influencer), diffuser de faux-antivirus, spammer... bref toutes les activités qui rapportent de l'argent.
  • TDL peut se comporter en proxy, et l'auteur offre des accès "anonymes" à internet à travers ces proxy pour une centaine d'euros par mois. Il a même pris soin de développer un module Firefox pour simplifier la configuration et l'accès à ses proxy pirates.
  • Les centres de contrôles sont nombreux, localisés dans le monde entier et changent tout le temps. L'auteur utilise également des reverse-proxy pour masquer la localisation réelle des serveurs hébergeants les centres de contrôle du cheval de Troie.
  • Tout comme Conficker, en complément des serveurs de contrôle centralisés, il utilise un réseau de P2P (Peer-to-peer). Curieusement, il utilise un réseau P2P public: Kamdelia (Kad) (également utilisé par eMule, MLDonkey et d'autres). Donc même si les serveurs de contrôle tombent tous (par exemple saisis par les autorités), l'auteur pourra continuer à envoyer des commandes à toutes les machines du botnet. Il lui suffit de placer un fichier chiffré dans le réseau Kad.
  • L'auteur peut forcer ses machines infectées à ne parler qu'entre elles sur le réseau Kad (en restreignant la liste des adresses IP auxquelles elles se connectent). Cela fait en quelques sorte un réseau P2P privé, entre machines infectées. A tout instant, il n'y pas plus de 10 PCs infectés qui accèdent au réseau Kad "public", ce qui permet à l'auteur de leur envoyer des commandes qui seront répercutées sur le réseau privé. Le fait qu'il n'y ait qu'une poignée de PC sur le Kad "public" rend d'autant plus difficile le repérage de ces PC. Faire tomber tout le réseau botnet d'un coup devient quasi-impossible.
  • Ce cheval de Troie est associé à un programme d'affiliation: Les affiliés gagnent de l'argent en fonction du nombre de PC qu'ils infectent, ainsi que de l'emplacement géographique des PC en question (entre 20 et 200 dollars pour 1000 installations de TDL). Les affiliés peuvent utiliser les méthodes qu'ils veulent pour infecter les PC (faux codecs vidéo, exploits Flash/Java, freewares repackagés, fichiers infectés dans les réseaux P2P, keygens, emails, faux antivirus...). Une fois installé, le cheval de Troie rapporte au centre de contrôle l'installation avec l'identifiant de l'affilié. Note amusante: Les PC infectés en Russie ne sont pas rémunérés.

Techniquement cousin avec Conficker, c'est surtout par le soin apporté à son exploitation mercantile que TDL se différencie. Là où Conficker avait un payload quasi-inexistant (le virus n'a jamais fait grand chose à part se reproduire), l'auteur de TDL a vraiment explorés toutes les pistes de revenu possibles (affichage forcé de publicités en ligne, fraude au clics, manipulations SEO, location des PC infectés, services proxy payant...).

Si au début de l'ère des virus, c'était surtout le quart-d'heure de gloire qui était recherché, de nos jours c'est clairement l'argent qui est le moteur de la création des virus et chevaux de Troie. Et ces chevaux de Troie évolués sont une arme de plus dans la panoplie de la cyber-guerre, qu'elle soit économique ou politique. N'en doutez pas: La formidable opportunité apportée par ces auteurs de virus offre des possibilités très intéressantes aux gouvernements.

Après tout, les USA ont récemment tracé le projet de considérer les attaques informatiques comme des déclarations de guerre, et rien ne serait plus commode comme prétexte que quelques IP localisées au moyen-orient venant port-scanner des entreprises américaines. Je fantasme ? Franchement, est-ce plus abracadabrant comme idée que des "armes de destruction massive" ?

De même, qu'est-ce qui dit que les adresses IP chinoises responsables des attaques envers le ministère des finances français étaient bien manipulées par des Chinois ? Il y a sûrement des dictatures qui seraient prêtes à payer pour la commodité d'avoir des adresses IP localisées dans le pays de leur choix, que ce soit pour traquer des dissidents en exile, déclencher des conflits ou semer le trouble. Les possibilités offertes par des PC piratés donnent le tourni. Le VPN que monsieur-tout-le-monde peut louer pour quelques euros par mois pour échapper à HADOPI n'est qu'une version édulcorée des formidables possibilités qu'offrent ces réseaux de PC zombie.

Et de l’aveu même des spécialistes en sécurité, ces réseaux de PC zombie sont de plus en plus difficiles à faire tomber.

Sortez couvert.


EDIT: Le gros problème avec les rootkits récents est qu'ils démarrent avant le système d'exploitation, rendant leur détection difficile. Pour parer à cela, vous pouvez utiliser des antivirus sur CD bootable. En voici deux gratuits (Ils sont tous les deux capables de désinfecter et se mettent à jour par internet) :
  • Kaspersky Rescue Disk 10 (fichier ISO, 209 Mo). Pensez à mettre à jour les signatures avant de lancer un scan (onglet "Mise à jour", cliquer sur "Exécuter la mise à jour"). Il contient également un navigateur (Firefox) et un gestionnaire de fichiers. Ce LiveCD est basé sur Gentoo. Kaspersky fournit également un petit outils pour installer l'ISO sur clé USB.

  • BitDefender Rescue CD (fichier ISO, 380 Mo). Les signatures se mettent à jour dès que vous le lancez. Il inclue également un navigateur (Firefox), un gestionnaire de fichiers, GParted, Foxit Reader et TestDisk (pour récupérer des partitions effacées). Ce LiveCD est basé sur Xubuntu.

J'expérimente Flattr

Jeudi 30 juin 2011

N'arrivant pas à me décider pour une régie publicitaire ou une autre, et surtout suite à vos nombreux emails, je me suis décidé à mettre en place Flattr (description ici), le système de micro-donations.

À votre bon cœur, m'sieur dames !  :-)