Kits d'exploitation: un autre regard



Documents pareils
SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Aperçu de l'activité virale : Janvier 2011

Les botnets: Le côté obscur de l'informatique dans le cloud

Présenté par : Mlle A.DIB

Sécurité Informatique : Metasploit

PRÉVENIR L EXPLOITATION DES FAILLES DE SÉCURITÉ RECHERCHE MONDIALE SUR LA SÉCURITÉ INFORMATIQUE

Auteur : Axelle Apvrille, chercheur sénior anti-virus sur mobile chez Fortinet

Virologie mobile, 5e partie

LA SÉCURITÉ RÉINVENTÉE

Les menaces sur internet, comment les reconnait-on? Sommaire

«Le malware en 2005 Unix, Linux et autres plates-formes»

les prévisions securité 2015

RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 4E ÉDITION 4E TRIMESTRE 2014

Virologie mobile, 4e partie

Trusteer Pour la prévention de la fraude bancaire en ligne

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Module de sécurité Antivirus, anti-spam, anti-phishing,

La protection des systèmes Mac et Linux : un besoin réel?

Protection pour site web Sucuri d HostPapa

La sécurité de l'information

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Etat de l art des malwares

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Les cyber risques sont-ils assurables?

Découvrir les vulnérabilités au sein des applications Web

Utilisation des médicaments au niveau des soins primaires dans les pays en développement et en transition

Les rootkits navigateurs

Solutions McAfee pour la sécurité des serveurs

Avanquest Software présente la nouvelle gamme WebEasy 8

GUIDE PRATIQUE DU REFERENCEMENT NATUREL

Bilan 2008 du Cert-IST sur les failles et attaques

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

PUISSANCE ET SIMPLICITE. Business Suite

La sécurité informatique

L UTILISATEUR, CIBLE DE TOUTES LES MENACES

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

Annexe : La Programmation Informatique

SECURIDAY 2013 Cyber War

AV-TEST teste 22 applications antivirus pour les smartphones et les tablettes Android

les fakes logiciels et rogue AV

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Sécurité des Postes Clients

Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie

Formation en Sécurité Informatique

Sécuriser les achats en ligne par Carte d achat

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

KASPERSKY SECURITY FOR BUSINESS

Kaspersky Security Center 9.0 Manuel d'implantation

Une protection antivirus pour des applications destinées aux dispositifs médicaux

Optimiser les images pour l affichage sur votre site

Recherches mises en valeur

Menaces de sécurité pour les entreprises, mode de vie numérique et cloud. Prévisions Trend Micro pour 2013 et les années suivantes

Créer et animer une boutique en ligne avec Wordpress (environnement PC et MAC)

MANUEL D'ADMINISTRATEUR

Rapport de certification

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

DÉBUT DU FONCTIONNEMENT

Gérer ses comptes bancaires

Alcatel-Lucent VitalQIP Appliance Manager

Guide de démarrage rapide

MANUEL DE DEPLOIEMENT

Fermer les portes dérobées des applications réseau

Questionnaire aux entreprises

INTRODUCTION AU CMS MODX

Services du support Sophos

Campagne de Communication Prévisionnelle. Web Intelligence & Réputation Internet

Tableau Online Sécurité dans le cloud

Tutoriel d'introduction à TOR. v 1.0

Guide d'installation du token

Notions de sécurités en informatique

Analyse des requêtes. Achat appartement. rédéric Baron Expert SEO - contact : seoseo.fr@gmail.com - - 1/8

PROCEDURE DE REVISION DES SALAIRES

Prestataire Informatique

Administration du site (Back Office)

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Concept Compumatica Secure Mobile

Votre guide 2013 pour la gestion des déplacements et frais professionnels

Managed VirusScan et renforce ses services

Infrastructure - Capacity planning. Document FAQ. Infrastructure - Capacity planning. Page: 1 / 7 Dernière mise à jour: 16/04/14 16:09

Pourquoi un pack multi-device?

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

z Fiche d identité produit

Le terrorisme et les groups de criminalité organisée présentent tous deux des menaces sérieuses pour la sécurité nationale et globale.

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Modernisation et gestion de portefeuilles d applications bancaires

Annexe 6. Kaspersky Security For Mail servers Anti-Spam/Antivirus. Consulting Team

Sécurité des blogs et des sites PHP : Protéger Wordpress et les sites similaires contre les pirates

Avantages. Protection des réseaux corporatifs de gestion centralisée

GUIDE PRATIQUE DE LA SÉCURITÉ INFORMATIQUE POUR LES PETITES ENTREPRISES

Référencement Naturel ou SEO Search Engine Optimization

WINDOWS SHAREPOINT SERVICES 2007

Transcription:

Kits d'exploitation: un autre regard Marco Preuss Vicente Diaz Les kits d'exploitation sont des paquets contenant des programmes malveillants qui servent principalement à exécuter des attaques automatisées «à la dérobée» afin de propager un programme malveillant. Ces kits sont vendus au marché noir pour des sommes allant de quelques centaines à plusieurs milliers de dollars. De nos jours, la mise en location de kits d'exploitation hébergés est chose courante et nous nous trouvons face à un marché très compétitif avec de nombreux et différents acteurs et auteurs. Apparu il y a plusieurs années, MPack fut un des premiers exemples de cet «outil» d'un genre nouveau et beaucoup d autres tels que ICE-Pack et Fire- Pack ont suivi. Aujourd hui parmi les kits d'exploitation les plus célèbres, citons Eleonore, le kit d'exploitation YES et Crimepack. Les blogs et les sites regorgent d'articles de recherche et d'informations sur les kits d'exploitation. Lors de nos recherches, nous nous sommes penchés sur différents aspects de ces kits et avons décidé d'en présenter un ici. Kits d'exploitation en chiffres Qu'est-ce qui fait la réussite d'un kit? Quel est l'élément clé de la popularité d'un kit? Commençons d abord par observer l'évolution des différents kits d'exploitation en circulation depuis janvier 2009. (Données fournies par MalwareDomainLists)

La première chose qui interpelle, est a noté au niveau des modèles de distribution de ces différents kits d'exploitation. Le tableau ci-dessous reprend le Top 5 des kits d exploitation de tous les temps dont les principaux sont Phoenix, Eleonore et Neosploit : Certes le trio de tête n'a pas récemment changé, mais nous observons tout de même l'émergence de nouveaux kits. Revenons sur le Top 5 des kits d'exploitation des 6 derniers mois dans lequel nous constatons l émergence du kit SEO Sploit Pack et Crimepack. Ensuite abordons les vulnérabilités ciblées par ces kits d'exploitation :

Les vulnérabilités d Internet Explorer, PDF et Java représentent 66 % des vecteurs d'attaque utilisés par les kits d'exploitation les plus répandus. De quand datent ces vulnérabilités? Le graphique ci-dessous indique l'année de découverte de chacune de ces vulnérabilités. La grande majorité des vulnérabilités exploitées est ancienne et il existe des correctifs pour l'ensemble de celles-ci. Mais malgré leur ancienneté elles sont toujours exploitées avec succès. Il est intéressant de constater que le taux de réutilisation de ces vulnérabilités est de 41 % (à savoir, le taux de vulnérabilités identiques exploitées par différents kits d'exploitation).

Enfin, comment peut-on expliquer la popularité de SEO Sploit Packs ces derniers mois? Il y a bien entendu de nombreuses raisons à cela et la facilité d'exploitation est l'une d'entre elles. Peut-on identifier d autres attributs? Codes d'exploitation plus récents En comparant le pourcentage de vulnérabilités exploitées par année de découverte par rapport à la moyenne des kits d'exploitation du Top 5, nous constatons que Crimepack et SEO Sploit Pack utilisent des codes d'exploitation plus récents. Distribution de la cible

PDF, Internet Explorer et Java sont les trois cibles principales avec un pourcentage combiné de plus de 75 % du total. Cela confirme que ces codes d'exploitation s'attaquent aux applications les plus populaires présentes sur les ordinateurs des victimes. Les coulisses des kits d'exploitation Pour obtenir les résultats suivants, nous avons pris différents kits d'exploitation et leurs différentes versions, que nous avons analysés en détail. Ainsi plus de 16 000 fichiers ont été traités. Graphisme et design Outre les codes d'exploitation intégrés, ces kits proposent également une interface qui permet aux cybercriminels de consulter des statistiques sur le paquet. Page de connexion pour Crimepack

Statistiques d'eleonore Statistiques de BlackHole Lors du traitement des fichiers, différents types de fichiers image utilisés sur Internet ont fait leur apparition. Ce sont en général des fichiers qui peuvent être scindé entre les GIF (format plus ancien) et les PNG (format plus récent). Les paquets les plus utilisés contenaient des images plus grandes, c 'est le cas notamment des kits d'exploitation YES, Crimepack, MySploitsKit et Fragus. La date de création ne semble avoir aucun impact car un des kits les plus anciens, à savoir MPack, contient des images très petites, tandis qu ICE- Pack (2007) et Siberia (2009) contiennent tous deux des images plus grandes. La qualité du graphisme et du design de chaque kit d'exploitation dépend des efforts du créateur. Ainsi, Eleonore utilise un modèle CSS disponible

gratuitement tandis que d'autres auteurs choisissent de créer leur propre style. Généalogie, vol et copie La quantité de fichiers examinés a engendré des statistiques pertinentes et intéressantes. Tout au long du processus, nous avons comparé les fichiers les uns par rapport aux autres. Cette opération est utile au sein de chaque famille de kit car elle permet de mettre en évidence des modifications entre différentes versions et elle met en lumière l'évolution du kit d'exploitation. Nous avons également comparé tous les fichiers d un kit d'exploitation les uns par rapport aux autres afin de mettre en évidence d'éventuels points communs, comme le montre la carte ci-après : On remarque facilement quel code d un kit provient d'un autre kit ou quel kit a influencé un autre. On l observe particulièrement avec le code d'exploitation Phoenix qui utilise une partie importante de matériel des kits bien plus anciens tels que Fire-Pack et ICE-Pack. FirePackLite et BleedingLife ont également beaucoup de points communs mais seuls SEO Sploit Pack et

ElFiesta ont une connexion exclusive. Le reste des échantillons avait des connexions avec plusieurs autres kits. La carte ci-dessous est une extension de cette statistique. Les fichiers similaires ont été ajoutés. Conclusion

Au final nous constatons que tout tourne autour de l'argent, comme l'illustrent les images ci-dessus des créateurs de BlackHole. Si un kit d'exploitation devient très populaire, ces créateurs gagnent plus d'argent à travers l'augmentation du volume des ventes. La seule manière pour un kit d'exploitation de devenir populaire dans ce marché très concurrentiel, c'est de pouvoir démontrer un taux d'infection élevé. Par conséquent, les nouveaux arrivants sur le marché de la création de kits d'exploitation utilisent souvent des méthodes existantes qui ont déjà fait leurs preuves ce qui peut expliquer les similitudes entres différents kits. Néanmoins, au vu de l'exposition du sujet des codes d'exploitation, les créateurs des kits d'exploitation doivent tenir compte d'autres éléments tels que la sécurité quand les vulnérabilités au sein du code d'exploitation ont été identifiées. Kaspersky Lab suit de près la situation pour offrir une protection complète et efficace contre ce type de menace.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back