Les hébergeurs bulletproof 1/43 Les hébergeurs bulletproof Gabriel Campana Sogeti / ESEC gabriel.campana(at)sogeti.com Alexandre Gazet Sogeti / ESEC alexandre.gazet(at)sogeti.com
Les hébergeurs bulletproof 2/43 Plan 1 2 3
Hébergeurs bulletproof : plusieurs études ou cas récents (1) Les hébergeurs bulletproof 3/43 Russian Business Network Étude de David Bizeul en août 2007 Fournisseur de service cybercriminel Actif pendant 3 ans! Atrivo/Intercage Livre blanc de Jart Armin en septembre 2008 100% de données illicites
Hébergeurs bulletproof : plusieurs études ou cas récents (2) Les hébergeurs bulletproof 4/43 McColo Étude de Jart Armin en novembre 2008 Hébergeur de serveurs de C&C Responsable de 50 à 70% du spam mondial Registrar estonien EstDomains Vente de noms de domaine pour des activités frauduleuses
Les hébergeurs bulletproof 5/43 Conséquences Résultats Nombreuses plaintes Pour chacun des AS concernés : de-peering Retrait de l accréditation pour EstDomains par l ICANN Bémols Les sanctions ou mesures de rétorsion ont pour origine des initiatives privées. Des résultats aussi spectaculaires que temporaires
Évolution du spam sur l année 2008 Les hébergeurs bulletproof 6/43 Source : spamcop.net
Les hébergeurs bulletproof 7/43 Définition Définition d un hébergeur bulletproof Un hébergeur offrant des services d hébergement classique ou à valeur ajoutée, auxquels s ajoute une complaisance plus ou moins grande sur l identité des clients, les moyens de paiements, l utilisation du service et surtout le contenu. Les actifs Service explicite Prix en conséquence Pas ou peu de CGV Les passifs Hébergeur a priori classique Tolérance/passivité
Les hébergeurs bulletproof 8/43 Cartes sur table
Les hébergeurs bulletproof 9/43 Tarifs Offres d hébergement Prix / mois Description Bullet Proof Domain Hosting 99 Redirection anonyme vers un site web Bullet Proof Shared Hosting 100 199 Serveur à l étranger, 99% uptime Bullet Proof Dedicated Server 549 Serveur à l étranger Semi-Dedicated Bulk Email Server 549 20K à 700K de mails par jour Full-Dedicated Bulk Email Server 890 700K à 15M de mails par jour Listes d adresses mail Prix / M Description Traders, site de rencontres, joueurs... 129 Nom, adresse, n téléphone, email, IP Réseaux sociaux 199 Adresses vérifiées, moins d un mois GMail 90 Adresses vérifiées Yahoo/Geocities 65 Adresses vérifiées Hotmail/MSN 65 Adresses vérifiées Autres 35 Adresses vérifiées
Une phrase symbole Les hébergeurs bulletproof 10/43 We will not shut you down due to complaints.
Les hébergeurs bulletproof 11/43 Roadmap 1 2 3
Partir du constat Les hébergeurs bulletproof 12/43 Source de l information Malware Domain List Liste de domaines fournissant des codes malveillants (virus, exploit, rootkit, etc.) Régulièrement mise à jour Utilisation Interrogation des bases whois Automatisation de l extraction de l AS impliqué Statistiques réalisées pour l ensemble de la liste Limitations Champs du protocole whois non standardisés, encodage Résultats parfois incomplets Blacklistage des serveurs whois
Les hébergeurs bulletproof 13/43 Résumé virusremover2008plus.com 77.245.61.80 ietoolsupdate.com 206.51.238.50 iexplorerfile.com 206.51.238.49 celebs-on-video-08.com 208.85.181.61... Requêtes WHOIS descr: WEB & MAIL HOSTING COMPANY source: descr: APNIC WEB & MAIL HOSTING COMPANY source: descr: APNIC WEB & MAIL HOSTING COMPANY source: descr: APNIC WEB & MAIL HOSTING COMPANY route: source: 202.73.57.0/24 APNIC descr: route: Viewqwest 202.73.57.0/24 Pte Ltd, Internet descr: route: Service Viewqwest 202.73.57.0/24 Provider, Pte Ltd, Singapore Internet descr: route: Service Viewqwest 202.73.57.0/24 Provider, Pte Ltd, Singapore Internet descr: Service Viewqwest Provider, Pte Ltd, Singapore Internet... Service Provider, Singapore......... Extraction Base de données Sqlite Statistiques HostFresh Nano UltraNet HiVelocity... Statistiques
Les hébergeurs bulletproof 14/43 Résultats Numéro AS Pays AS35057 ULTRANET AS47486 STILLTRADE AS9121 TTNET AS36445 CERNEL AS6731 COMSTAR AS43355 CZ-UPLTELECOM AS15756 CARAVAN AS44997 BTG-AS AS39823 COMPIC AS27970 ONEPACKET AS15685 AS-CASABLANCA-NIX AS24971 MASTER-NET-1 AS25577 C4L AS23898 HOSTFRESH AS4134 CHINA-TELECOM AS28753 NETDIRECT AS35415 WEBAZILLA AS20718 AS ARSYS AS31159 NETCATHOST? INTERCAGE AS29809 NETRCLLC AS38877 MD WEB HOSTING AS43513 NANO AS6461 ABOVENET AS26780 MCCOLO AS29802 HIVELOCITY AS31034 ARUBA Classement des AS au plus fort pourcentage de contenu malveillant (malware)
Les hébergeurs bulletproof 15/43 Roadmap Présentation Caractérisation d adresses 1 2 Présentation Caractérisation d adresses 3
Les hébergeurs bulletproof 16/43 Roadmap Présentation Caractérisation d adresses 1 2 Présentation Caractérisation d adresses 3
Source : robtex.com Les hébergeurs bulletproof 17/43 Un hébergeur : NANO Présentation Caractérisation d adresses Pourquoi? Un hébergeur européen Basé à Riga (Lettonie) Plage d adresses IP réduite
Quelques informations Présentation Caractérisation d adresses Principal responsable : Jefim Gasel 21.11.1986 pseudonyme : treck Des offres d hébergement, à partir de 2,56 Lats (moins de 4û) Des CGV clairement affichées En apparence un hébergeur très classique... Source : nano.lv Les hébergeurs bulletproof 18/43
Les hébergeurs bulletproof 19/43 Roadmap Présentation Caractérisation d adresses 1 2 Présentation Caractérisation d adresses 3
Les hébergeurs bulletproof 20/43 Méthodologie Présentation Caractérisation d adresses Problématique Comment retrouver tous les noms de domaines attachés à une adresse IP (et par extension une plage d adresses)? Des outils payants : Reverse IP de DomainTools... Et des gratuits : mot-clé ip sur le moteur live.com Résultats DomainTools annonce 2841 noms de domaine Nous en avons collecté plus de 2200 avec live.com
Les hébergeurs bulletproof 21/43 Présentation Caractérisation d adresses Serveur mutualisé hébergeant du contenu légitime
Les hébergeurs bulletproof 22/43 Présentation Caractérisation d adresses Serveur dédié hébergeant du contenu illégal
Les hébergeurs bulletproof 23/43 Roadmap 1 2 3
Les hébergeurs bulletproof 24/43 Roadmap 1 2 3
Les hébergeurs bulletproof 25/43 Black SEO Search Engine Optimization (SEO) d un référencement optimal Augmentation du trafic Mais aussi black SEO Exploitation abusive des biais des moteurs de recherche Qui l apprécient très modérément...
Les hébergeurs bulletproof 26/43 Black SEO : quelques techniques Cloaking Contenu présenté à l utilisateur Contenu présenté aux moteurs de recherche Link farm De multiples sites ou pages se référencent mutuellement Keyword stuffing Une page est truffée de mots clés destinés à être référencés Si les techniques sont trop agressives blacklisting.
Les hébergeurs bulletproof 27/43 Roadmap 1 2 3
Les hébergeurs bulletproof 28/43 En pratique : une ferme de faux blogs
Les hébergeurs bulletproof 29/43 Des médicaments et des autres...
Les hébergeurs bulletproof 30/43 Cloaking : vu par un l utilisateur <SCRIPT LANGUAGE=" JavaScript"><!-- function Yuqkawew(){ var temp ="", i,c=0, out=""; var str=" 60!115!99!114!105!112!116!62!102!117!110!99!116!105!111!110!32!103!101! 114!97!110!100!40!109!105!110!78!44!109!97!120!78!41!32!123!13!10!13!10!118! [...]!97!109!101!43!39!47!52!48!52!46!104!116!109!108!39!125!60!47!115!99!114!105!116!62!"; l=str.length;str.charat(0);while(c<=s t r. length 1){ while ( s t r. charat ( c )!=! ) temp=temp+s t r. charat ( c++); c++;out=out+string. fromcharcode (temp ) ; temp="" ; } document. write ( out );} //--></SCRIPT><SCRIPT LANGUAGE=" JavaScript"> Redirection coté client à l aide d un JavaScript très légèrement obfusqué.
Les hébergeurs bulletproof 31/43 Cloaking : JavaScript très légèrement désobfusqué [... ] var r = document. referrer, t =, q, gogo ; gogo = f a l s e ; i f ( r. indexof ("google.")!= 1) { t = "q" ; } i f ( r. indexof ("msn.")!= 1) { t = "q" ; } i f ( r. indexof ("yahoo.")!= 1) { t = "p" ; } i f ( r. indexof ("altavista.")!= 1) { t = "q" ; } i f ( r. indexof ("aol.")!= 1) { t = "query" ; } i f ( r. indexof ("ask.")!= 1) { t = "q" ; } i f ( t. length && [... ] ) { gogo = true ; [... ] } i f (gogo ) {window. location= http://abapharm.net/search.php?q=amaryll +key ( ) ; else {window. location= http:// +location. hostname+ /404.html } S il provient d un moteur de recherche (champ referrer), l utilisateur est redirigé vers une pharmacie en ligne.
Les hébergeurs bulletproof 32/43 Keyword stuffing : vu par un moteur de recherche Origine probable des texte de padding : Google Books. Ici : Dracula : Webster s French Thesaurus.
Les hébergeurs bulletproof 33/43 Link farm Utilisation de robots pour poster des liens référençant le site sur des forums. Également utilisation d une doorway page.
Les hébergeurs bulletproof 34/43 Générer du profit : vente de médicaments Toute cette campagne de black SEO est destinée à maximiser le flux de visiteurs de cette pharmacie en ligne. Le site est localisé sur un autre AS.
Les hébergeurs bulletproof 35/43 Black SEO : conclusions L architecture (robots, faux blogs, éventuels relais) est un outil promotionnel Il peut se monnayer comme tel : régie publicitaire du style Google Adwords Utilisation constatée pour : vente de médicaments jeux en ligne : poker, loterie Mais aussi... distribution de malware!
Les hébergeurs bulletproof 36/43 Roadmap 1 2 3
Les hébergeurs bulletproof 37/43 Youtube revu et corrigé Comment faire télécharger et exécuter un malware à un utilisateur? 1 Lui demander gentiment... 2 Ou lui proposer une vidéo porno!
Les hébergeurs bulletproof 38/43 Construction possible de l attaque Outil de génération de fausses pages Reprenant l interface de YouTube Mais servant des malwares Peu de compétence technique Source : PandaLabs
Les hébergeurs bulletproof 39/43 Remonter à la source Le site hébergé par NANO n est qu une coquille vide <!DOCTYPE HTML PUBLIC "-// W3C// DTD HTML 4.01 Transitional// EN"> <html> <head> <t i t l e>nasty teen teasing her pussy then pissing Free Porn Video</ t i t l e> </ head> <BODY bgcolor="# FFFFFF" marginheight="0" marginwidth="0"> <iframe src="http://hot-fuck-tube-site.net/get.php?id=21199&p=59" width=" 100%" height=" 100%" frameborder="0" vspace="0" hspace="0"></ iframe> </BODY> </ html> Utilisation d un relai situé sur l AS de NETDIRECT (Allemagne) Malware finalement stocké sur l AS LUCKYNET (Israël) Ces trois AS sont déjà reconnus comme potentiellement hostiles
Les hébergeurs bulletproof 40/43 Résumé SEO Keywords Référencement & recherches Faux Youtube Relais Stockage NETIDIRECT LUCKYNET
Les hébergeurs bulletproof 41/43 Recul sur NANO Ce que nous avons observé Une activité structurée En grande partie automatisée Très probablement génératrice de revenus Volatile et flexible Le rôle de l hébergeur NANO n offre pas ostensiblement des services bulletproof Néanmoins, passif face au contenu hébergé
Les hébergeurs bulletproof 42/43 Conclusion La régulation d Internet? La notion de frontière n existe plus Initiatives privées Tant que l offre bulletproof répondra aux contraintes de la cybercriminalité, elle perdurera et continuera à générer des profits.
Les hébergeurs bulletproof 43/43 Merci pour votre attention. Des questions?