Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Microsoft annonce l’arrêt de Dorkbot, un botnet d’un million de PC

Mais l'entreprise n'était pas seule

Microsoft annonce l'arrêt de Dorkbot, un botnet d'un million de PC

Le 04 décembre 2015 à 16h00

Microsoft a annoncé récemment avoir mené à bien une opération coordonnée contre un important botnet, créé via le malware Dorkbot. Ce n'est pas le premier réseau que le groupe démantèle - avec le concours des forces de l'ordre - mais Dorkbot était particulièrement important, avec plus d’un million de PC infectés.

Un botnet est un réseau de machines zombies. Il s’agit d’un maillage constitué de PC qui ont été infectés par un malware bien particulier qui, en plus de voler des informations, peut être piloté à distance. Plus il y a de machines infectées par le même malware, plus le botnet grandit et plus le pirate qui le contrôle gagne en puissance. Car l’aspect spécifique d’un botnet est qu’une seule personne peut faire effectuer à des centaines de milliers de machines une action particulière, comme générer du spam ou déclencher des attaques distribuées par déni de service (DDoS).

La lutte contre les botnets demande des efforts coordonnés, comme l’indiquait récemment le spécialiste Éric Freyssinet dans nos colonnes. De nombreux aspects doivent être pris en compte, outre le simple fait d’intervenir pour couper les liens entre les machines et le serveur utilisé pour les contrôler. Au-delà de la technique, il faut prendre en compte l'intérêt financier : il est possible de payer pour générer du spam ou pour s’en prendre à une cible particulière.

100 000 nouvelles machines infectées par mois

Pour Dorkbot, Microsoft s’est associée à plusieurs partenaires : la société de sécurité ESET (éditrice de l’antivirus NOD32), le Département américain de la sécurité intérieure, Europol, le FBI, Interpol ou encore le Computer Emergency Response Team (CERT) de Pologne. Les techniques utilisées pour démanteler ce puissant botnet, qui comptait plus d’un million de machines, n’ont pas été révélées. Pas question d'indiquer publiquement les moyens et outils mis en œuvre. Mais le rythme de croissance du botnet Dorkbot était devenu inquiétant, avec 100 000 nouvelles machines contaminées environ par mois sur les six derniers mois.

Pour autant, ce botnet n’était pas nouveau, les premières traces de son existence remontant à 2011. L’opération pour s’y attaquer a nécessité une coordination internationale qui a visiblement mis un certain temps à se mettre en place. Le Microsoft Malware Protection Center avait en effet publié dès 2012 une analyse de Dorkbot en deux parties, dans lesquelles l’entreprise présentait les dangers d’un réseau qui grandissait.

Une prédilection pour les vieux PC sans protection

L’éditeur indique que Windows Defender et l’ensemble des antivirus sont capables de détecter Dorkbot depuis un moment. Les machines infectées sont donc celles qui ne sont pas protégées par une telle barrière et qui ont un Windows trop ancien pour inclure l’antivirus maison. On pense tout de suite aux dizaines de millions de PC encore sous Windows XP, alors même que le support technique du vieux système s’est terminé le 8 avril de l’an dernier. Nous avions alors souligné les dangers inhérents de laisser en fonctionnement des machines où les failles de sécurité ne pouvaient que s’accumuler avec le temps.

De fait, la répartition des PC contaminés sur les six derniers mois n’est pas étonnant. 21 % des infections ont eu lieu en Inde, 17 % en Indonésie, 16 % en Russie, 14 % en Argentine. La Chine, elle, comptait seulement pour 4 % des contaminations.

dorkbot

De nombreux identifiants dérobés

Microsoft explique dans tous les cas qu’il était devenu urgent de se débarrasser d’un malware que son concepteur vendait littéralement comme un « kit criminel ». Les méthodes de propagation étaient par ailleurs nombreuses : clés USB, messageries instantanées, réseaux sociaux, téléchargements depuis des sites malveillants ou encore emails. Comme souvent dans ce genre de cas, le malware était contrôlé à distance par de simples commandes IRC.

Malin, Dorkbot disposait de plusieurs techniques pour éviter d’être supprimé. De nombreux sites dévolus à la sécurité étaient donc bloqués et il avait même certaines capacités lui permettant d’échapper aux sandbox, une capacité de plus en plus courante parmi les malwares du genre. Une fois en place, il pouvait intercepter nombre de requêtes sur le web et récoltait en priorité les identifiants des comptes Google, AOL, eBay, Facebook, Godaddy, Mediafire, Netflix, Twitter ou encore Yahoo.

dorkbot

La coordination, décidément l'élément clé

Microsoft affiche finalement un discours qui ressemble largement à celui d’Éric Freyssinet en amont de la conférence Botconf 2015 : les efforts doivent être concertés pour détruire les botnets de manière efficace et durable. La firme indique par exemple que les éditeurs de solutions de sécurité doivent s’échanger leur savoir-faire, que les institutions financières doivent mieux identifier les flux frauduleux pour tarir les flux d’argent, et que les forces de l’ordre allient leurs efforts pour trouver finalement les auteurs. 

Notez enfin que si Dorkbot et son million de machines infectées est une prise importante, il ne s'agit pas du plus gros botnet auquel se soit attaqué l'entreprise. En décembre 2013, aidée par le FBI et Europol, elle avait ainsi coupé l'accès à un botnet de deux millions de machines nommé ZeroAccess.

Commentaires (48)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

<img data-src=" />&nbsp;encore un service gratuit que Microsoft arrête!…&nbsp;<img data-src=" />&nbsp;<img data-src=" />&nbsp;<img data-src=" />

votre avatar







jinge a écrit :



<img data-src=" />&nbsp;encore un service gratuit que Microsoft arrête!…&nbsp;<img data-src=" />&nbsp;<img data-src=" />&nbsp;<img data-src=" />





<img data-src=" />


votre avatar







jinge a écrit :



<img data-src=" /> encore un service gratuit que Microsoft arrête!… <img data-src=" /> <img data-src=" /> <img data-src=" />







<img data-src=" /><img data-src=" />



après MSN… maintenant ça… demain c’est skype ? <img data-src=" />


votre avatar







jinge a écrit :



<img data-src=" />&nbsp;encore un service gratuit que Microsoft arrête!…&nbsp;<img data-src=" />&nbsp;<img data-src=" />&nbsp;<img data-src=" />





1010 😂


votre avatar

<img data-src=" /> <img data-src=" />

votre avatar

“un botnet d’un million de PC”&nbsp;

&nbsp;On dit un gros botnet <img data-src=" />&nbsp;

votre avatar

Ca devrait être le sous titre de la news :P

votre avatar

Un effort sur l’orthographe SVP ! L’auteur a vraiment un problème avec les participes passés…

“creer via&nbsp;le malware Dorkbot”&nbsp;“la sociéter de securiter” “L’operation a nécessiter” &nbsp;“avais en effet publier” “le support technique s’est terminer&nbsp;”&nbsp;

&nbsp;

votre avatar

Qu’est-ce qu’on peut faire quand un FW fortinet détecte des tentatives d’accès en SMB à un share depuis un PC infecté sur lequel les AV du marché 5tren ou Symantec en tête) ne détectent rien sur ladite machine ?

votre avatar



Les techniques utilisées pour démembrer ce puissant botnet, qui comptait plus d’un million de machines, n’ont pas été révélées.





Les mauvaises langues vont dire que c’est grace au backdoor de Microsoft <img data-src=" />

votre avatar







SNUT a écrit :



Qu’est-ce qu’on peut faire quand un FW fortinet détecte des tentatives d’accès en SMB à un share depuis un PC infecté sur lequel les AV du marché 5tren ou Symantec en tête) ne détectent rien sur ladite machine ?





Essayer avec un autre AV ?

Formater <img data-src=" />


votre avatar







SylvainPV a écrit :



Un effort sur l’orthographe SVP ! L’auteur a vraiment un problème avec les participes passés…

“creer via le malware Dorkbot” ”la sociéter de securiter” “L’operation a nécessiter”  ”avais en effet publier” “le support technique s’est terminer ”











S’il te plait il existe au dessus de chaque news, à coté du logo NextInpact un petit dessin comme les panneaux attention. si tu clique dessus, cf le liennextinpact.com Next INpacttu pourras gentillement signaler les erreurs trouvées, et ne pas manquer de respect au rédacteur. <img data-src=" /> <img data-src=" />


votre avatar

Il pense être sur le forum d’actu de Clubic <img data-src=" />

votre avatar

Pendant ce temps, sur Android et les Winphones, tout le monde s’en fout.

Sans compter les vieux Linux.

Mais voilà, c’est Windows.

votre avatar

Pas mal ça !&nbsp;<img data-src=" />

votre avatar

Avec le crack qui lui-même est un service malveillant : bravo!

votre avatar







ledufakademy a écrit :



Avec le crack qui lui-même est un service malveillant : bravo!







<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



En quoi le crack en question est-il un service malveillant ?


votre avatar

un crac k de jeu , d’appli, de système est bien souvent un client de botnet, virus etc



Rien n’est gratuit.

votre avatar







ledufakademy a écrit :



un crac k de jeu , d’appli, de système est bien souvent un client de botnet, virus etc



Rien n’est gratuit.







Et je peux le voir comment ?


votre avatar







Bejarid a écrit :



Ta technique viable ne l’est pas pour plein de raison (ils n’ont pas les accès aux commandes, juridiquement ce serait suicidaire, etc.).





En quoi est-ce que ce serait suicidaire juridiquement ? Leur EULA leur donne déjà tous les droits sur les postes de leurs clients, et comme illustration sur Windows 7 & 8, ils ne se gênent pas pour installer un malware appelé “KB3035583” qui fait la promotion et le téléchargement de leur dernier OS.


votre avatar

anti-virus, anti-malware … etc



Cela reste du vol. Cracker un logiciel c’est voler quelqu’un … aussi puissant soit-il. C’est un principe !



MAIS le plus simple et le plus honnête … (a mon avis) installer Linux Mint ou Debian ou Ubuntu Linux !!!

votre avatar







MdMax a écrit :



En quoi est-ce que ce serait suicidaire juridiquement ? Leur EULA leur donne déjà tous les droits sur les postes de leurs clients, et comme illustration sur Windows 7 & 8, ils ne se gênent pas pour installer un malware appelé “KB3035583” qui fait la promotion et le téléchargement de leur dernier OS.





Montre à MdMax où est l’interrupteur, lui sinifiant qu’il est encore sur “Off”


votre avatar

ha… La propagande… c’est beau…



&nbsp;“bou, crack pas, c’est un virus le crack….”.



P.S : Remplace souvent par rarement.



&nbsp;

votre avatar

ok, alors donnes ce conseil … et ensuite tu le feras le sav ?

Moi je maintiens : 80% des crack embarque une surprise …



Note : les anti-ce que tu veux - ne détectent pas les virus de nos jours.



Avec un simple code amateur tu peux déjouer un anti-virus, sans problème, si le bonhomme derrière n’est pas attentifs à ses clics …

votre avatar

80% au doigt mouillé…



Moi aussi je peux sortir des chiffres. Je dis qu’a tout casser tu as moins de 20% des cracks qui embarque un virus.



Bizarre qu’en rétro-ingénierie on arrive pas à prouver cette propagande de crack=virus ou autre. Y’en à même pour dire que les keygen sont infecté… c’est dire !



Oui, certains cracks sont utilisé pour diffuser des virus mais sont très minoritaire.

Un truc quasi infaillible :&nbsp; Un crack qui contient un virus… c’est généralement un crack fake.&nbsp; C’est de là que vient cette légende du crack=virus. Un fake crack, il ne fait rien… à part infecter un ordi.

votre avatar

Le Toolkit le plus utilisé depuis des années n’est pas dangereux. ;) Idem pour celui utilisé pour la suite Adobe.

C’est plutôt dans les cracks de jeux téléchargés sur des sites douteux que tu retrouve des merdes.



Pour me donner bonne conscience j’achète tous mes jeux… Windows j’ai eu une version de 7 préinstallée sur mon pc portable qui est depuis passée en 10… sur deux bécanes.&nbsp;<img data-src=" />

votre avatar

malware*, pas virus. Il y a une (grosse) différence.



Je te laisse lire les articles :&nbsp;http://www.malekal.com/?s=crack

&nbsphttp://forum.malekal.com/danger-des-cracks-keygen-t893.html

&nbsp;

Pas besoin de rétro-ingénierie.



&nbsp;Il suffit de regarder les sites d’entre-aides pour voir que les cracks/keygens sont à l’origine de beaucoup d’infections.



&nbsp;





&nbsp;



&nbsp;

votre avatar

&nbsp;







kwak-kwak a écrit :



Si tu laisses le service ouvert sur les zombies, le pirate aura tôt fait de reprendre la main sur son botnet au moyen d’un patch ou d’un ver pour peu qu’il possède quelques contre-mesures (genre une backdoor et une liste à jour des ip de son botnet).

Une technique viable serait donc plutôt de diffuser un antivirus via les serveurs de commande.





Tu remarqueras que j’ai dit “si le malware n’exploite pas de faille” (sous entendu “non humaine”)

Tu parle d’un service ouvert, il y a bien exploit <img data-src=" />



Evidemment ma reflexion ne s’applique pas en cas de faille. Dans ce cas, la fermeture des c&c est beaucoup moins efficace.



&nbsp;

&nbsp;



StillNess a écrit :



malware*, pas virus. Il y a une (grosse) différence.



Je te laisse lire les articles :&nbsp;http://www.malekal.com/?s=crack

&nbsp;http://forum.malekal.com/danger-des-cracks-keygen-t893.html

&nbsp;

Pas besoin de rétro-ingénierie.



&nbsp;Il suffit de regarder les sites d’entre-aides pour voir que les cracks/keygens sont à l’origine de beaucoup d’infections.





Entre les faux sites de cracks, le petit kevin qui dissimule un malware avec un vrai crack et un vrai crack “innofensif” détecté (un faux positif donc) on&nbsp; est pas rendu, et bien malin celui qui peut faire le tri <img data-src=" />


votre avatar







ledufakademy a écrit :



un crac k de jeu , d’appli, de système est bien souvent un client de botnet, virus etc



Rien n’est gratuit.





MOUHAHAHAHAHAHA. Cette propagande des éditeurs de logiciels <img data-src=" />

Relit mon message précédent :)

&nbsp;

La vérité c’est que l’antivirus détecte les cracks pour de nombreuses raisons qui n’ont rien a voir avec les virus ou des actions malveillantes (enfin, si on considère que casser la protection d’un logiciel n’est pas malveillant <img data-src=" />)



Je t’invite à te renseigner sur “les protecteurs et autres compresseurs d’executables”.&nbsp; UPX, VMprotect, Themida…

&nbsp;

De plus, beaucoup de logiciels de ce type (de protection donc) embarquent l’identité de l’acheteur dans les exécutables protégés par leur biais.

Et si la licence se retrouve dans la nature, l’éditeur du logiciel de protection s’arrange avec les éditeurs d’antivirus pour que tout programme protégé contenant la licence volée soit détecté.

&nbsp;

A partir de là, n’importe qui peut vous faire avaler l’excuse “c’est détecté c’est normal c’est un logiciel de hack/crack, faux positif” <img data-src=" /> et inclure un malware en cadeau du crack “légitime”


votre avatar

Je connais bien le site malekal merci. ;-)



Et c’est toujours la même propagande. Les teams réputé ne place pas de malware (si tu veux) dans leur crack. Soit il est rajouté après sur des sites louche, soit, ces même sites louche, te font croire que tu télécharge un crack… mais en faite c’est un malware.



Donc non, non et non : crack != virus ( ou ce que tu veux). Pas de raccourcis de la sorte !



Le danger des cracks est toujours le même : c’est les personnes n’y connaissant strictement rien qui lance sur leur machine tout et n’importe quoi en faisant une confiance aveugle !



Un crack pris sur un site de confiance et un minimum de connaissances suffises. C’est en ça que j’exècre la propagande de Malekal sur le sujet.

votre avatar

Sur la propagande “malekalienne”, il faut comprendre une chose : la majorité des gens n’y entravent que pouic, autrement dit, comme on en as marre de leurs expliquer “ya les bons et les mauvais”, on se contente de dire “n’y touchez pas”.



Si on commence à mettre une nuance, cela ouvre la voie aux fameux “kitouchent”&nbsp; qui “savent” …..qui savent que dalle oui. Le genre qui formate le pc des qu’il y a un problème <img data-src=" />. Qui plus est, la propagation des malwares est bien plus insidieuse que pas mal de gens l’imaginent, les moyens d’infections et de persistances sont variés.



Si on dit texto : les cracks c’est de la m…. là on parle au plus nul en info.

&nbsp;

En plus, éthiquement parlant, ils ne peuvent pas parler de “bons” cracks <img data-src=" />



C’est un mensonge pour un bien, je dirait.<img data-src=" />

votre avatar

Faut quand même relativiser : sur des trackers privés de qualité, tu as des teams irréprochables au niveau de leurs cracks…&nbsp;

Par contre, pour ce qui est des keygen récupérer sur des sites beaucoup plus louche, c’est autre chose.&nbsp;



Quand tu vois un jeu téléchargé 50 000 fois, cracké par une team qui pour l’ensemble des jeux représente 10 fois plus de téléchargement, et que personne ne remonte d’info sur un comportement bizarre, j’ai quand même tendance à faire confiance.&nbsp;



(PS : après tu peux acheter le jeu c’est bien aussi&nbsp; <img data-src=" />)

votre avatar

Moi pas tout comprendre.



en citant,

Les antivirus pour la plupart traitent le probleme depuis un moment.

Les plus concernés sont ceux sous xp (meme avec un seven cracké on peux faire les mises à jour… ?), chiffres des pays concernés.





Bref, si ça touche principalement xp, m\( va faire une nouvelle maj pour xp (cette dernière phrase est totalement sarcastique car difficilement concevable). Ou une maj ultime qui saccage la couche réseau des postes ^^'.



Dans le cas des postes qui ne sont pas mis à jour et ne disposent pas d'AV quel qu'il soit, ça ne changera pas non plus si tout es désactivé par l'utilisateur.



Et même si c'est le bot qui désactivait les maj, sans maj, m\) ne poussera rien sur les postes concernés.







Bah, de toute façon mon windows 3.1 ne craint plus rien lui <img data-src=" />

votre avatar

Ca sert a rien de faire une maj si le malware n’exploite pas de failles (ya rien a patcher)<img data-src=" />



Le problème ce n’est pas les PC infectés en tant que tel, c’est le fait qu’ils recoivent des commandes à partir de “centres de contrôles” (des serveurs tenus par les attaquants)



Ces opérations visent surtout, je pense, à faire sauter les serveurs de contrôles (les c&c). Ainsi, quand le zombie va demander des ordres , il ne recevrat rien, et a priori ne fera rien.



Apres le pc peu rester infecté, ca ne gènera pas le reste du monde mais juste les utilisateurs de celui ci&nbsp; :p

votre avatar

XP…c’était prévisible et donc prévu et donc ça n’étonne personne.

votre avatar

Si tu laisses le service ouvert sur les zombies, le pirate aura tôt fait de reprendre la main sur son botnet au moyen d’un patch ou d’un ver pour peu qu’il possède quelques contre-mesures (genre une backdoor et une liste à jour des ip de son botnet).

Une technique viable serait donc plutôt de diffuser un antivirus via les serveurs de commande.

votre avatar







dumbledore a écrit :



S’il te plait il existe au dessus de chaque news, à coté du logo NextInpact un petit dessin comme les panneaux attention. si tu clique dessus, cf le liennextinpact.com Next INpacttu pourras gentillement signaler les erreurs trouvées, et ne pas manquer de respect au rédacteur. <img data-src=" /> <img data-src=" />





Et pour signaler, sans lui manquer de respect, au conseiller de service du redresseur de torts (orthographiques ou grammaticaux) de la news qu’il aurait intérêt à s’acheter un Bescherelle et opter pour un correcteur orthographique inline plus performant, que recommandes-tu ?


votre avatar







kwak-kwak a écrit :



Si tu laisses le service ouvert sur les zombies, le pirate aura tôt fait de reprendre la main sur son botnet au moyen d’un patch ou d’un ver pour peu qu’il possède quelques contre-mesures (genre une backdoor et une liste à jour des ip de son botnet).

Une technique viable serait donc plutôt de diffuser un antivirus via les serveurs de commande.





Ta technique viable ne l’est pas pour plein de raison (ils n’ont pas les accès aux commandes, juridiquement ce serait suicidaire, etc.).



Non, il y a bien plus simple : ne rien faire tant que tu n’as pas isolé les personnes physiques derrière le réseau. Et c’est ce qu’a fait MS, après avoir isolé le réseau, ils ont attendu 3 ans que les forces de l’ordre (sus-cité) fasse leur boulot (avec l’aide de MS et ESET s’entend).


votre avatar







le-gros-bug a écrit :



Les mauvaises langues vont dire que c’est grace au backdoor de Microsoft <img data-src=" />





Et ils ont fait comment? Se sont regardés le nombril en se demandant comment faire?!


votre avatar







Winderly a écrit :



XP…c’était prévisible et donc prévu et donc ça n’étonne personne.





Où as tu vu marqué que ça ne touche que des XP ? La seule phrase qui l’évoque est du sensationnalisme pur.







Vincent a écrit :



L’éditeur indique que Windows Defender et l’ensemble des antivirus sont

capables de détecter Dorkbot depuis un moment. Les machines infectées

sont donc celles qui ne sont pas protégées par une telle barrière et qui

ont un Windows trop ancien pour inclure l’antivirus maison. On pense

tout de suite aux dizaines de millions de PC encore sous Windows XP,

alors même que le support technique du vieux système s’est terminé le 8

avril de l’an dernier.



votre avatar

<img data-src=" /> effectivement, vu comme ça.

Et la pelletée de participants prend tout son sens.



Reste qu’il faut que tous les pays/hébergeurs suivent le mouvement. Bref, c’est loin d’être gagné ^^.











psn00ps a écrit :



Où as tu vu marqué que ça ne touche que des XP ? La seule phrase qui l’évoque est du sensationnalisme pur.







Winderly n’a pas non plus dit que ça touchait uniquement xp <img data-src=" /> (ou alors j’ai loupé un commentaire ^^‘).


votre avatar

J’ai marché dedans <img data-src=" />

votre avatar

<img data-src=" />

votre avatar







SylvainPV a écrit :



Un effort sur l’orthographe SVP ! L’auteur a vraiment un problème avec les participes passés…

“creer via&nbsp;le malware Dorkbot”&nbsp;“la sociéter de securiter” “L’operation a nécessiter” &nbsp;“avais en effet publier” “le support technique s’est terminer&nbsp;”&nbsp;

&nbsp;



Botnet : « Microsoft m’a tuer»


votre avatar







SNUT a écrit :



Qu’est-ce qu’on peut faire quand un FW fortinet détecte des tentatives d’accès en SMB à un share depuis un PC infecté sur lequel les AV du marché 5tren ou Symantec en tête) ne détectent rien sur ladite machine ?







Passer sous Linux.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />







x689thanatos a écrit :



(meme avec un seven cracké on peux faire les mises à jour… ?)







Oui, même un 7 cracké reçoit des mises à jour, je confirme.


votre avatar

“Les machines infectées sont donc celles qui ne sont pas protégées par une telle barrière et qui ont un Windows trop ancien pour inclure l’antivirus maison. ”



Hahahaha !!!!! La blague !

votre avatar

Heureusement qu’on est surveillés en permanence par notre grand ami Microsoft tueur de botnets !

votre avatar

Mes excuses à l’auteur de l’article, quelqu’un m’a fait une blague de mauvais goût en m’installant une extension qui ajoute automatiquement des fautes d’orthographe aux pages web… Eh oui, des gens font ça.

Microsoft annonce l’arrêt de Dorkbot, un botnet d’un million de PC

  • 100 000 nouvelles machines infectées par mois

  • Une prédilection pour les vieux PC sans protection

  • De nombreux identifiants dérobés

  • La coordination, décidément l'élément clé

Fermer