Arrête-moi si tu peux



Documents pareils
Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Solutions McAfee pour la sécurité des serveurs

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

KASPERSKY SECURITY FOR BUSINESS

Aperçu de l'activité virale : Janvier 2011

Optimisation de la gestion de la sécurité avec McAfee epolicy Orchestrator

Guide de prise en main Symantec Protection Center 2.1

Les botnets: Le côté obscur de l'informatique dans le cloud

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Jeux de hasard en ligne et blanchiment d'argent : une combinaison gagnante McAfee Labs Rapport de synthèse

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

PRÉVENIR L EXPLOITATION DES FAILLES DE SÉCURITÉ RECHERCHE MONDIALE SUR LA SÉCURITÉ INFORMATIQUE

L'être humain, nouvelle cible des pirates

Feuille de données Outpost Antivirus Pro 2009 Antivirus de haute vitesse qui vous tient à la tête du jeu

McAfee Network Security Platform Une approche d'une intelligence inégalée de la sécurité du réseau

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES

Sophos Computer Security Scan Guide de démarrage

Faites vos achats en ligne en toute confiance

McAfee Data Loss Prevention Discover 9.4.0

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Symantec Endpoint Protection Fiche technique

Prise en main. Norton Ghost Pour trouver des informations supplémentaires. A propos de Norton Ghost

NETTOYER ET SECURISER SON PC

Retrospect 7.7 Addendum au Guide d'utilisation

McAfee Data Loss Prevention Endpoint 9.4.0

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

LA SÉCURITÉ RÉINVENTÉE

Préparer la synchronisation d'annuaires

Guide pas à pas. McAfee Virtual Technician 6.0.0

Fiche Technique. Cisco Security Agent

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Guide de migration de politique Symantec Client Firewall

PCKeeper. Human Inside

McAfee Security-as-a-Service

Sécurité des Postes Clients

Module 8. Protection des postes de travail Windows 7

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Sophos Endpoint Security and Control Guide de démarrage réseau

Protection de la messagerie d'entreprise. À l'heure actuelle, la sécurité de la messagerie électronique pose de graves problèmes aux entreprises :

Guide de l'utilisateur du composant d'intégration de Symantec Endpoint Protection. Version 7.0

Guide de l'utilisateur de Symantec Backup Exec System Recovery Granular Restore Option

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Symantec Endpoint Protection

VOS DONNÉES SONT MENACÉES : PROTÉGEZ-LES AVEC LE CHIFFREMENT RECHERCHE MONDIALE SUR LA SÉCURITÉ INFORMATIQUE

Une protection antivirus pour des applications destinées aux dispositifs médicaux

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation

A. Sécuriser les informations sensibles contre la disparition

Virus GPS. Un Ver dans la Tempête

PUISSANCE ET SIMPLICITE. Business Suite

Exportation d'une VM sur un périphérique de stockage de masse USB

1. Étape: Activer le contrôle du compte utilisateur

Guide de migration de politique de Symantec Client Firewall

Notes de version pour Symantec Endpoint Protection Small Business Edition, version 12, mise à jour de version 1

Auteur : Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet

Guide de l'administrateur Citrix Personal vdisk 5.6.5

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Exigez plus. Profitez de tous les avantages d'un pare-feu de nouvelle génération

Guide client de Symantec Endpoint Protection et Symantec Network Access Control

Trusteer Pour la prévention de la fraude bancaire en ligne

CA Desktop Migration Manager

Guide de configuration de SQL Server pour BusinessObjects Planning

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Installation et Réinstallation de Windows XP

Sophos Enterprise Console, version 3.1 manuel utilisateur

Pour une installation rapide, voir au verso.

Convention Beobank Online et Beobank Mobile

Le rôle Serveur NPS et Protection d accès réseau

Guide de démarrage rapide

GUIDE DE L UTILISATEUR Recoveo Récupérateur de données

Gestion et impression

Cybercriminalité. les tendances pour 2014

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

Télécharger et installer un antivirus gratuit. Aujourd'hui, aucun ordinateur n'est à l'abri du risque d'infection lié aux virus informatiques.

Guide d'intégration à ConnectWise

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Sage CRM. 7.2 Guide de Portail Client

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Dell SupportAssist pour PC et tablettes Guide de déploiement

Symantec MessageLabs Web Security.cloud

LES INSCRIPTIONS À L «UNIVERSITÉ DE LA CYBERCRIMINALITÉ» SONT OUVERTES!

Sécurité Manuel de l'utilisateur

La nouvelle dimension des logiciels criminels furtifs

Document de présentation technique. Blocage du comportement

Dans la jungle des malwares : protégez votre entreprise

Guide d'administration Révision E. Gestion des comptes. For SaaS and Web Security

Kaspersky Tablet Security pour Android

Virtualisation des postes de travail

Transcription:

Rapport Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe

Sommaire Ce rapport a été préparé et rédigé par : Anand Bodke Abhishek Karnik Sanchit Karve Raj Samani Introduction 3 Présentation du ver 4 Évolution : la mutation du ver W32/Worm-AAEH 5 Algorithme de génération de domaines 6 Mécanisme de téléchargement en chaîne 7 Moteur polymorphe pour la création de vers uniques 8 Système automatisé de collecte d'échantillons 11 Prévalence 12 Prévention des infections 13 Démantèlement 14 Conclusion 14 Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 2

Introduction Le domaine de la cybercriminalité peut être comparé à un jeu du chat et de la souris qui voit s'affronter deux camps : les professionnels chargés de la combattre et les individus qui y voient des opportunités de profit. Il existe une multitude d'exemples où les innovations techniques réalisées de part et d'autre ont conduit un camp à prendre l'avantage à un moment donné pour se faire distancer à d'autres. Cette lutte permanente a pris de multiples formes à mesure que les cybercriminels développaient des infrastructures de communication complexes en vue de faciliter le contrôle des logiciels malveillants, des paiements et des services de blanchiment de leurs gains mal acquis. McAfee Labs en propose de nombreux exemples dans des rapports, des livres blancs et des articles de blog traitant de l'écosystème de la cybercriminalité et des tendances émergentes ainsi que de l'engagement pris par Intel Security et ses principaux partenaires pour perturber ou mettre un terme à ces opérations. Si les premières avancées en matière de logiciels malveillants peuvent sembler rudimentaires aujourd'hui, force est de constater que la cybercriminalité représente une activité majeure et très lucrative. L'année dernière, Intel Security a demandé au CSIS (Center for Strategic and International Studies) de rédiger un rapport d'estimation du coût de la cybercriminalité à l'échelle mondiale. Selon le rapport, celle-ci coûte à l'économie mondiale la bagatelle de 400 milliards de dollars par an. Que ces estimations soient jugées trop faibles pour certains ou trop élevées pour d'autres, le fait est que la cybercriminalité est une activité en pleine croissance et que les cyberattaques peuvent générer des revenus considérables. Compte tenu de leur rendement élevé, il n'est guère surprenant d'assister à des innovations impressionnantes de la part des cybercriminels et de ceux qui cherchent à les contrer. On voit ainsi apparaître des méthodes de communication peer to peer intégrant des dizaines de milliers de domaines pour communiquer avec les hôtes infectés ou des AET, ou techniques de contournement avancées, destinées à infiltrer les points de contrôle de sortie des réseaux approuvés. Ce rapport s'intéresse à l'une de ces innovations mise au point par les cybercriminels : un ver autoexécutable qui échappait à toute détection en changeant constamment de forme à chaque infection. Sa capacité à muter était telle que de nouvelles variantes pouvaient apparaître jusqu'à six fois par jour. Au début du mois d'avril 2015, une opération internationale menée par les forces de l'ordre de plusieurs pays a permis le démantèlement des serveurs de contrôle de ce réseau de robots (botnet). Pour lire le récit détaillé du démantèlement, cliquez ici. Raj Samani, Directeur des technologies de McAfee Labs pour la région EMEA Suivre McAfee Labs Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 3

Présentation du ver Un ver est un type de logiciel malveillant qui se réplique afin de se propager à d'autres ordinateurs. En règle générale, il se répand via le réseau en exploitant les vulnérabilités de sécurité des systèmes cibles pour y accéder. Une fois un système infecté, un ver y installe souvent une porte dérobée (backdoor) pour le transformer en «zombie» que son auteur pourra contrôler. Le réseau de systèmes zombies est qualifié de réseau de robots, ou botnet. Le ver W32/Worm-AAEH a ceci de remarquable qu'il modifie ses empreintes propres au système plusieurs fois par jour pour échapper à la détection. Les cybercriminels écrivent du code dans un but précis, généralement pour voler des informations telles que des données d'entreprise, des éléments de propriété intellectuelle et des informations d'identification bancaires. À la différence des objectifs poursuivis dans le cas d'autres familles de logiciels malveillants (malware), le but ultime du concepteur du ver décrit ici consiste à maintenir la présence de celui-ci sur l'ordinateur de la victime. Connu sous le nom W32/Worm-AAEH (ou encore W32/Autorun.worm.aaeh, VObfus, VBObfus, Beebone, Changeup et quelques autres), la mission de cette famille de vers est de faciliter le téléchargement d'autres logiciels malveillants, notamment des voleurs de mots de passe bancaires, des rootkits, des faux antivirus et des logiciels de demande de rançon (ransomware). Les logiciels malveillants comportent des fonctionnalités propres aux vers pour se propager rapidement à de nouveaux ordinateurs via les réseaux, les lecteurs amovibles (USB, CD, DVD) et des fichiers archives ZIP ou RAR. Le ver a été écrit en Visual Basic 6. Tirant parti de la nature complexe et non documentée de Visual Basic 6 ainsi que de méthodes telles le polymorphisme et la dissimulation, W32/Worm-AAEH n'a rien perdu de son efficacité depuis sa première détection, en juin 2009. Un logiciel malveillant polymorphe, capable de changer de forme à chaque infection, est une menace très difficile à combattre. W32/Worm-AAEH est un ver téléchargeur polymorphe dont McAfee Labs a déjà recensé plus de cinq millions d'échantillons uniques. Ce ver a eu un impact dévastateur sur les systèmes des clients (plus de 100 000 systèmes infectés depuis mars 2014). Une fois introduit dans le système, le ver mute toutes les quelques heures et se propage rapidement sur le réseau, téléchargeant au passage une multitude de logiciels malveillants dont des voleurs de mots de passe, des logiciels de demande de rançon, des rootkits, des robots utilisés pour l'envoi de spam et d'autres téléchargeurs. Nos recherches sur le ver, sous surveillance depuis mars 2014, montrent que le serveur de contrôle remplace les échantillons par de nouvelles variantes entre une et six fois par jour et que le moteur polymorphe côté serveur distribue des échantillons propres au client, de façon à ce qu'un échantillon unique soit transmis à chaque nouvelle demande de téléchargement. Cette surveillance proactive et automatisée a permis à McAfee Labs de garder une longueur d'avance sur ces adversaires en termes de détection et de suppression, et de bloquer l'offensive des logiciels malveillants dans les environnements de nos clients. Ce rapport décrit le système d'automatisation développé en mars 2014 par McAfee Labs pour reproduire le comportement de communication du ver et exploiter ses serveurs de contrôle pour en extraire les logiciels malveillants. Ce système a permis aux chercheurs de bénéficier d'un accès «jour zéro» aux logiciels malveillants et de surveiller l'activité du réseau de robots, aidant ainsi les clients à prévenir l'infection. Ainsi, l'automatisation a considérablement réduit le nombre d'infections des systèmes des clients et limité le risque d'escalade. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 4

Évolution : la mutation du ver W32/Worm-AAEH Le premier échantillon du ver W32/Worm-AAEH (6ca70205cdd67682d6e86c- 8394ea459e) a été identifié le 22 juin 2009 (compilé le 20 juin). Il a été détecté sous le nom Generic Packed.c. Dès la mise en circulation de cette première version, l'intention des auteurs du ver était claire : compliquer la tâche d'analyse en enregistrant chaque chaîne en tant que caractères individuels et en les concaténant au moment de l'exécution. Toutefois, hormis cette étape, aucune autre fonctionnalité ne venait empêcher l'analyse du logiciel malveillant. L'échantillon possédait des fonctionnalités limitées qui lui permettaient d'exécuter les actions suivantes : S'exécuter au démarrage du système et se dissimuler dans le répertoire du profil utilisateur Se copier sur tous les lecteurs amovibles et utiliser un fichier autorun.inf masqué pour se lancer automatiquement Utiliser la chaîne «Open folder to view files» (Ouvrir le dossier pour afficher les fichiers) comme texte d'action dans la langue locale (16 langues prises en charge) Désactiver la commande d'arrêt des applications du Gestionnaire des tâches de Microsoft Windows pour éviter d'être lui-même arrêté manuellement par l'utilisateur Contacter un domaine codé en dur (ns1.theimageparlour.net) pour télécharger et exécuter d'autres logiciels malveillants. Au fil du temps, les auteurs du ver ont introduit de nouvelles fonctionnalités. À l'heure actuelle, celui-ci peut effectuer les actions suivantes : Détecter les machines virtuelles et les logiciels antivirus Interrompre les connexions Internet à destination des adresses IP des éditeurs de solutions de sécurité Utiliser un algorithme de génération de noms de domaines (DGA, Domain Generation Algorithm) pour rechercher ses serveurs de contrôle Injecter des logiciels malveillants dans des processus existants Utiliser le chiffrement Désactiver les outils pour éviter qu'ils n'arrêtent son exécution Se propager via des lecteurs CD/DVD amovibles Exploiter une vulnérabilité des fichiers LNK (CVE-2010-2568) S'introduire dans des archives ZIP ou RAR pour favoriser sa persistance et sa propagation Le ver se décline en deux composants, à savoir Beebone et VBObfus (également connu sous le nom de VObfus), possédant chacun une série de fonctionnalités. Le premier composant joue le rôle d'un téléchargeur pour VBObfus, qui contient, quant à lui, toutes les fonctionnalités du cheval de Troie et du ver. Plusieurs techniques de dissimulation et de contournement des analyses rendent la détection difficile. Par ailleurs, les méthodes de chiffrement sont fréquemment mises à jour et diverses optimisations à l'aide de code de projets logiciels en source libre compliquent encore la tâche des outils d'analyse. Ces stratagèmes ont, sans grande surprise, permis au ver de ne rien perdre de son efficacité depuis sa mise au jour en 2009. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 5

Les logiciels malveillants utilisent un algorithme de génération de noms de domaines pour créer régulièrement un nombre important de noms de domaine dont ils se serviront pour échanger des informations. Face au volume important de noms de domaines générés, les forces de l'ordre éprouvent de grandes difficultés à démanteler les réseaux de robots. Algorithme de génération de noms de domaines W32/Worm-AAEH utilise un algorithme de génération de domaines simple mais efficace qui permet aux distributeurs de logiciels malveillants de modifier les noms de domaine et les adresses IP des serveurs à la demande (par exemple, en cas de blocage par les produits de sécurité) lors des communications avec les hôtes infectés. L'algorithme peut être représenté sous la forme {chaîne_secrète}{n}.{dpn}, chaîne_secrète étant une chaîne cachée codée en dur dans l'échantillon malveillant. N est un nombre compris entre 0 et 20. DPN, ou domaine de premier niveau, peut représenter l'une des chaînes suivantes : com, org, net, biz, info. Alors que N et DPN restent généralement constants, la chaîne secrète change de temps en temps. À un moment donné, le distributeur de logiciels malveillants configure les enregistrements DNS appropriés pour la chaîne secrète actuelle et la précédente afin que les échantillons plus anciens puissent se connecter aux nouveaux serveurs pour effectuer les mises à jour. Par exemple, le 14 septembre 2014, le serveur de contrôle avait l'adresse IP 188.127.249.119. Cette adresse IP était enregistrée sous plusieurs noms de domaine avec la chaîne secrète actuelle ns1.dnsfor et la chaîne précédente ns1.backdates. Comme illustré dans l'image suivante, certains noms de domaines générés par l'algorithme sont parfaitement résolus. L'adresse IP du même serveur de contrôle est enregistrée dans plusieurs chaînes secrètes. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 6

Mécanisme de téléchargement en chaîne L'une des raisons pour lesquelles cette menace donne du fil à retordre aux logiciels antivirus est que le ver peut se remplacer par de nouvelles variantes avant que des signatures soient créées pour les neutraliser. Cette tactique est mise en œuvre grâce à un mécanisme de téléchargement en chaîne qui consiste, pour chacun des deux composants du ver W32/Worm-AAEH (Beebone et VBObfus), à télécharger de nouvelles variantes de l'autre. Cela garantit la persistance du ver même en cas de détection de l'un des composants par un logiciel de sécurité puisque le composant qui sera passé entre les mailles du filet finira par télécharger une version non détectée de son homologue. Le téléchargement en chaîne est initié par un autre composant, détecté par McAfee Labs sous la désignation Generic VB.kk. Conçu exclusivement pour télécharger Beebone, cet échantillon est transmis par des kits d'exploits et des attaques d'ingénierie sociale. Un composant sans rapport avec les autres Downloader-BJM est un robot IRC qui communique avec le même serveur de contrôle mais n'a aucune interaction avec le ver W32/Worm-AAEH. Le processus est illustré ci-après : Downloader-BJM (robot IRC) Ordinateur victime 2 Serveur de contrôle Accessible aux logiciels malveillants via l'algorithme de génération de noms de domaines 3 4 5 6 7 8 1 Generic VB.kk contacte le serveur de contrôle avec les informations de la victime. Le serveur de contrôle renvoie Beebone. Beebone contacte le serveur de contrôle. Le serveur de contrôle renvoie une série de logiciels malveillants dont VBObfus et d'autres logiciels tiers tels que Cutwail, Necurs, Upatre et Zbot. VBObfus contacte le serveur de contrôle. Le serveur de contrôle renvoie (à nouveau) Beebone. La victime visite la page malveillante. 2 Le kit d'exploits installe Generic VB.kk. Kit d'exploits Ordinateur victime 1 Processus d'infection par le ver W32/Worm-AAEH. Dans l'illustration précédente, Beebone (étape 4) télécharge une nouvelle variante de VBObfus (6), qui remplace l'ancienne version de Beebone par une nouvelle variante du composant (8). La chaîne de téléchargement se présente comme suit : Réponse reçue par Generic VB.kk à l'étape 3. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 7

Cette réponse inclut la commande (download), l'url et le nom de fichier à utiliser lors de l'enregistrement de la variante de Beebone téléchargée. L'URL renvoie un blob (Binary Large OBject) chiffré à l'aide de l'algorithme RC4 et qui, une fois déchiffré, représente la variante de Beebone. Blob chiffré Fichier binaire déchiffré La décompression de ce blob révèle une nouvelle variante de Beebone. Beebone contacte à nouveau le serveur de contrôle (7) et reçoit un blob chiffré qui, après déchiffrement, donne une série d'url (8) : Les URL déchiffrées fournissent d'autres logiciels malveillants à l'emplacement actuel. Chaque URL renvoie des blobs chiffrés qui, après déchiffrement, donnent Beebone et d'autres logiciels malveillants, le cycle se répétant à l'infini. Moteur polymorphe pour la création de vers uniques Avant d'avoir recours à des outils de chiffrement disponibles sur le marché en juillet 2014, le ver W32/Worm-AAEH utilisait un moteur polymorphe côté serveur qui générait des fichiers binaires de ver spécifiques à la victime. Pour ce faire, le moteur utilisait les informations (numéro de série du lecteur C et nom d'utilisateur) contenues dans la demande de téléchargement comme source de génération de chaînes aléatoires. Ces chaînes étaient remplacées à certains emplacements précis du fichier. L'une d'entre elles était utilisée comme clé de déchiffrement des chaînes ou du fichier binaire incorporés et exigeait le chiffrement de toutes les informations en texte clair à l'aide des nouvelles chaînes générées aléatoirement : Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 8

Comparaison octet par octet de deux fichiers binaires générés par le moteur polymorphe. L'en-tête du fichier exécutable est identique. Les différences entre les deux échantillons (en rouge) montrent la capacité de mutation du logiciel malveillant. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 9

Les différences (en rouge) montrent que les noms de projet sont modifiés chaque fois qu'un nouveau fichier binaire est généré. Modifications dans les chaînes et les données chiffrées. Le moteur polymorphe conservait également des informations sur l'origine de l'échantillon en lui ajoutant un marqueur en préfixe. Des lettres d'alphabet uniques étaient mappées à des numéros de ports de téléchargement individuels situés dans les plages 7001 7008, 8000 8003 et 9002 9004, et indiquaient que l'échantillon était téléchargé par Beebone. Un nombre à deux chiffres signifiait que l'échantillon avait été téléchargé par le logiciel malveillant VBObfus à partir de ports compris entre 20000 et 40000. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 10

Système automatisé de collecte d'échantillons En mars 2014, McAfee Labs a mis au point un système automatisé pour communiquer avec les serveurs de contrôle de W32/Worm-AAEH et télécharger les nouveaux vers dès leur mise à disposition par le distributeur de logiciels malveillants. Notre moteur d'automatisation est conçu pour reproduire la communication du ver avec son serveur de contrôle à chaque étape de la séquence de communication décrite dans la section précédente. Jusqu'à présent, le système a collecté plus de 20 000 échantillons uniques à partir de plus de 35 serveurs de contrôle, tous situés en Europe (voir la carte page 12), ce qui a permis aux chercheurs de McAfee Labs d'écrire des signatures de détection des échantillons avant qu'ils ne puissent infecter nos clients. Notre système a également détecté le remplacement de l'outil de chiffrement du ver le 21 juillet 2014. Le 15 septembre 2014, le ver a introduit l'outil 29A-Loader, vendu dans le marché clandestin pour 300 dollars. À l'aide d'un nouvel algorithme de clustering de McAfee Labs, nous avons appris que l'outil de collecte avait recueilli plus de 350 variantes entre mars et août 2014 avec quelque 55 échantillons pour chacune d'elles, soit une moyenne de 58 nouvelles variantes par mois. Clusters découverts par l'outil de collecte d'échantillons de McAfee Labs Hachage de code Visual Basic Nombre d'échantillons e9e18926d027d7edf7d659993c4a40ab 934 2381fb3e2e40af0cc22b11ac7d3e3074 540 d473569124daab37f395cb786141d32a 500 7738a5bbc26a081360be58fa63d08d0a 379 d25a5071b7217d5b99aa10dcbade749d 362 7856a1378367926d204f936f1cfa3111 353 13eae0e4d399be260cfc5b631a25855d 335 987e0ad6a6422bec1e847d629b474af8 335 0988b64de750539f45184b98315a7ace 332 63463a5529a2d0d564633e389c932a37 320 Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 11

Tous les serveurs de contrôle du ver détectés par McAfee Labs entre le 14 mars 2014 et le 14 septembre 2014 étaient situés en Europe. Prévalence La collection de logiciels malveillants de McAfee Labs contient plus de cinq millions d'échantillons uniques du ver W32/Worm-AAEH. Nous avons détecté plus de 205 000 échantillons sur 23 000 systèmes entre 2013 et 2014. Le fait que ces systèmes soient répartis dans plus de 195 pays prouve la portée mondiale de la menace. Les États-Unis présentent le nombre le plus élevé d'infections. Nombre total de systèmes infectés par le ver W32/Worm-AAEH entre 2013 et 2014 Les systèmes américains sont la principale cible de ce ver. 9 000 8 000 7 000 6 000 5 000 4 000 3 000 2 000 1 000 0 Suède Pays-Bas Italie Mexique Russie France Chine Brésil Taïwan États-Unis Source : McAfee Labs, 2015 Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 12

Découvrez comment Intel Security peut vous aider à vous protéger contre cette menace. Les chiffres qui précèdent représentent une estimation prudente de la propagation de l'infection. Celle-ci se base sur les informations émanant des détections signalées par les postes du réseau McAfee Labs, soit une petite partie de l'ensemble des infections. Il se peut que les données géographiques ne correspondent pas à la propagation réelle dans la mesure où la distribution géographique des postes n'est peut être pas uniforme. Prévention des infections Les produits Intel Security détectent toutes les variantes de cette famille. Les noms de détection possèdent les préfixes suivants : W32/Autorun.worm.aaeh W32/Worm-AAEH VBObfus Generic VB En dépit de la nature polymorphe de la menace, son comportement de base est resté essentiellement inchangé, ce qui permet aux clients d'éviter facilement les infections en prenant les quelques mesures de précaution suivantes : Règles de protection d'accès pour bloquer le ver W32/Worm-AAEH Catégorie Protection maximale commune Défini par l'utilisateur Défini par l'utilisateur Règle Empêcher l'enregistrement de programmes à des fins d'exécution automatique Empêcher l'exécution de fichiers dans le répertoire %USERPROFILE% Bloquer les connexions sortantes aux ports 7001 7008, 8000 8003, 9002 9004 et 20000 40000 (Les applications légitimes peuvent utiliser ces ports.) Des règles supplémentaires sont publiées dans notre base de connaissances (KnowledgeBase), à la page https://kc.mcafee.com/corporate/ index?page=content&id=kb76807. Pare-feu Bloquer l'accès aux domaines générés par l'algorithme DGA ns1.dnsfor{n}.{dpn}, où N représente un nombre compris entre 0 et 20 et DPN peut avoir l'une des valeurs suivantes : com, net, org, biz, info. McAfee Network Security Platform Utiliser cette règle Snort pour bloquer les téléchargements de logiciels malveillants (les instructions sont publiées à la page https://community.mcafee.com/docs/ DOC-6086) : alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg: "W32/Worm-AAEH C2 Server Communication Detected"; flow: to_server,established; content: "User-Agent: Mozilla/4.0 (compatible\; MSIE 7.0\; Windows NT 5.1\; SV1)"; classtype: trojan-activity; ) Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 13

Démantèlement Au début du mois d'avril 2015, une opération internationale menée par les forces de l'ordre de plusieurs pays a permis le démantèlement des serveurs de contrôle du réseau de robots Beebone. Le FBI, le Centre européen de lutte contre la cybercriminalité (EC3, ou European Cybercrime Centre), Intel Security et Shadowserver Foundation ont collaboré pour identifier et démanteler l'infrastructure de ce réseau de robots. Pour lire le récit détaillé du démantèlement, cliquez ici. Conclusion Dans la mesure où la cybercriminalité est un secteur d'activités florissant et en pleine expansion, il n'est guère surprenant que les attaques se multiplient. Comme l'illustre parfaitement cet exemple, les cybercriminels feront tout pour échapper aux professionnels de la sécurité informatique, au secteur de la sécurité et aux forces de l'ordre du monde entier afin de pouvoir continuer à perpétrer leurs vols en toute impunité. La coopération de tous les acteurs est nécessaire pour arrêter de telles attaques. Les éditeurs de solutions de sécurité doivent partager des informations cruciales entre eux, et les entreprises doivent être protégées contre les actions en justice afin de s'assurer de leur collaboration avec d'autres entreprises et leurs gouvernements dans le but de bloquer les attaques. Enfin, les autorités policières du monde entier doivent travailler main dans la main avec le secteur de la sécurité et les sociétés touchées pour neutraliser les attaques les plus malveillantes. Ce n'est qu'en unissant nos efforts que nous pouvons espérer mettre un frein à la progression des cyberattaques et au vol d'informations. Arrête-moi si tu peux Les facéties d'un réseau de robots polymorphe 14

À propos de McAfee Labs Suivre McAfee Labs McAfee Labs est l'une des principales sources de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. www.mcafee.com/fr/mcafee-labs.aspx À propos d'intel Security McAfee fait désormais partie d'intel Security. Avec sa stratégie Security Connected, son approche innovante de la sécurité optimisée par le matériel et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, Intel Security consacre tous ses efforts à développer des solutions et des services de sécurité proactifs et éprouvés, qui assurent la protection des systèmes, des réseaux et des équipements mobiles des entreprises et des particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations et aux performances éprouvées d'intel pour faire de la sécurité un élément essentiel de chaque architecture et plate-forme informatique. La mission d'intel Security est de permettre à chacun de vivre et de travailler en toute confiance et en toute sécurité dans le monde numérique. www.intelsecurity.com McAfee. Part of Intel Security. Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.intelsecurity.com Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. Intel et le logo Intel sont des marques commerciales déposées d'intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright 2015 McAfee, Inc. 61788rpt_polymorphic-botnet_0315

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back