Gérer les incidents de sécurité liés aux drones de serveur HTTP Sinkhole

Description

Ces incidents sont inscrits dans des rapports indiquant qu’un serveur (ou une machine ou un ordinateur connecté à l’aide d’un VPN, de la traduction d’adresses de réseau, etc.) s’est connecté à un serveur Sinkhole exploité par une organisation de sécurité, mais que la connexion ne s’est pas effectuée en utilisant un référent HTTP.

Puisque le serveur Sinkhole est uniquement accessible par des noms de domaines identifiés précédemment comme malveillants, l’activité détectée indique que ce serveur est infecté ou qu’il fournit des services de VPN à un hôte infecté. 

Consultez la page suivante pour obtenir plus de renseignements sur ces rapports : https://www.shadowserver.org/wiki/pmwiki.php/Services/Sinkhole-HTTP-Drone.

Plus de renseignements concernant les drones repérés 

  • Type de drone : Sality

Virus de type polymorphe, il modifie les fichiers exécutables en ajoutant son corps chiffré à la fin des fichiers. Pour remplacer le code hôte original, le virus exploite le point d’entrée et remplace le code par une séquence polymorphe qui contient la routine de description.

Systèmes touchés : Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista et Windows XP. 

Consultez la page suivante pour obtenir plus de renseignements :

http://www.bitdefender.com/VIRUS-1000630-en--Win32-Sality-2-OE.html

  •  Type de drone : Downadup

Worm/Downadup est un logiciel malveillant qui, une fois exécuté, a la capacité de se dupliquer et d’infecter d’autres fichiers et programmes. Ce type de maliciels, aussi nommés « virus », peuvent voler de l’espace disque et de la mémoire, ce qui cause le ralentissement ou la défaillance de votre ordinateur.

Systèmes touchés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista et Windows XP.

Consultez la page suivante pour obtenir plus de renseignements :

http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99

http://www.avgthreatlabs.com/virus-and-malware-information/info/worm-downadup/

http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html

  • Type de drone : Beebone

Win32/Beebone fait partie de la famille des téléchargeurs de chevaux de Troie compilés de Visual Basic, et il exécute d’autres maliciels connus, comme Win32/VobfusWin32/FareitWin32/ZbotWin32/Sirefef et Trojan:Win32/Necurs.

Consultez la page suivante pour obtenir plus de renseignements :

http://home.mcafee.com/virusinfo/virusprofile.aspx?key=3255551#none

http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Beebone

http://threatpost.com/vobfus-worm-beebone-trojan-create-malware-infection-loop

http://www.lavasoft.com/mylavasoft/malware-descriptions/blog/trojandownloaderwin32beebonebr 

  • Type de drone : Glupteba

Ce cheval de Troie sert de porte dérobée et peut être commandé à distance.

Consultez la page suivante pour obtenir plus de renseignements :

http://www.virusradar.com/en/Win32_Glupteba.G/description

https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=588

https://www.sonicwall.com/us/en/esblogs.html?id=63 

  • Type de drone : StealRAT

StealRAT est un zombie qui se greffait à plusieurs sites WordPress ayant subi une brèche de sécurité en juillet 2013. Ce drone représente une percée en matière de publipostage ou de pollupostage. Une nouvelle technique de détection de pourriels a toutefois été lancée et mise en œuvre. Les polluposteurs doivent toujours trouver de nouvelles méthodes pour contourner ces technologies. TrendMicro a été l’une des premières entreprises à découvrir ce maliciel. La méthode employée par ce dernier comprend trois étapes simples, comme il est décrit dans le billet suivant publié sur le blogue de l’entreprise :

- compromettre un site Web pour envoyer le pourriel;
- compromettre des systèmes pour recueillir et envoyer les données du pourriel;
- compromettre un site Web pour transférer les données utiles.

Source : http://zerosecurity.org/2014/06/stealrat-pops-back-2014 
 

Consultez la page suivante pour obtenir plus de renseignements :

http://blog.trendmicro.com/trendlabs-security-intelligence/compromised-sites-conceal-stealrat-botnet-operations/

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-stealrat.pdf

http://blog.trendmicro.com/trendlabs-security-intelligence/compromised-sites-conceal-stealrat-botnet-operations/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29

  • Type de drone : IRCBot

La famille de maliciels IRCBOT utilise le service de clavardage IRC pour envoyer et recevoir les commandes du maître d’ordinateurs zombies qui gère chaque variante. Le maliciel IRCBOT se propage généralement par l’intermédiaire de lecteurs amovibles en exploitant les vulnérabilités des logiciels. En outre, il peut se répandre par des programmes de messagerie instantanée comme Yahoo!, Messenger, MSN Messenger et Windows Live Messenger.

Consultez la page suivante pour obtenir plus de renseignements :

http://www.symantec.com/security_response/writeup.jsp?docid=2011-040711-0927-99

http://about-threats.trendmicro.com/Malware.aspx?language=au&name=IRCBOT 

http://about-threats.trendmicro.com/us//archive/malware/BKDR_IRCBOT.AGF 

  • Type de drone : Pushdo

Pushdo est un réseau de zombies servant principalement au pollupostage. On a observé récemment qu’il lançait des attaques par déni de service (DDoS) contre certains sites Web pour lesquels le protocole SSL est activé. Le maliciel Pushdo est également connu sous le nom « Pandex », et certaines de ses composantes, sous le nom « Cutwail ».

« Pandex » correspond au nom donné par Symantecs à ce cheval de Troie. Trojan.Pandex constitue un cheval de Troie qui envoie des pourriels à partir d’un serveur distant et qui recueille les adresses courriel sur l’ordinateur compromis.

Consultez la page suivante pour obtenir plus de renseignements :

https://www.symantec.com/security_response/writeup.jsp?docid=2007-042001-1448-99 

http://www.iss.net/threats/pushdoSSLDDoS.html

http://en.wikipedia.org/wiki/Cutwail_botnet

http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20100129

http://msmvps.com/blogs/harrywaldron/archive/2010/02/02/pushdo-botnet-new-ddos-attacks-on-major-web-sites.aspx 

  • Type de drone : Rançongiciel (Ransomware)

Le rançongiciel représente un type de maliciels qui vous empêche d’utiliser votre ordinateur. Il est possible qu’il vous demande de donner de l’argent, de remplir des sondages ou d’effectuer d’autres actions pour déverrouiller et utiliser votre ordinateur.

Certains types de rançongiciels sont également nommés « FBI Moneypak » ou « FBI virus ». Ils emploient souvent les logos du FBI ou de la police locale, et ils vous demandent de payer une amende par l’intermédiaire du service légitime de virement de fonds Green Dot MoneyPak.

La plupart des rançongiciels affichent un avis qui affirme que les autorités locales ont détecté une activité illégale sur votre ordinateur. Puis, ils vous demandent de payer une « amende » (la rançon) afin d’éviter les poursuites et de pouvoir accéder de nouveau à vos fichiers.

Consultez la page suivante pour obtenir plus de renseignements :

http://blog.emsisoft.com/2012/04/11/the-accdfisa-malware-family-ransomware-targetting-windows-servers/

http://fr.ikipedia.org/wiki/Ransomware

http://news.techworld.com/security/3343528/ransom-trojans-spreading-beyond-russian-heartland/

http://www.infoworld.com/t/security/mcafee-cyber-criminals-using-android-malware-and-ransomware-the-most-219916

http://www.ic3.gov/media/2012/121130.aspx

http://www.fbi.gov/news/stories/2012/august/new-internet-scam/new-internet-scam

http://www.microsoft.com/security/portal/mmpc/shared/ransomware.aspx

http://www.securitycentral.org.nz/cybersecurity-for-small-businesses/dealing-with-ransomware-and-remote-access-hacking/

http://fr.wikipedia.org/wiki/CryptoLocker

http://www.sophos.com/en-us/support/knowledgebase/119006.aspx 

  • Type de drone : Sinkhole

Ces adresses IP regroupent tous les appareils qui se trouvent sur notre serveur Sinkhole et qui ne s’y connectent pas par l’intermédiaire d’un référent HTTP. Puisque le serveur Sinkhole est uniquement accessible par des noms de domaines identifiés précédemment comme malveillants, seuls les systèmes infectés ou les chercheurs du domaine de la sécurité devraient être énumérés dans cette liste.

Consultez la page suivante pour obtenir plus de renseignements :

http://www.shadowserver.org/wiki/pmwiki.php/Services/Sinkhole-HTTP-Drone 

  • Type de drone : Torpig

Également connu sous les noms « Sinowal » et « Anserin » (principalement propagé avec le rootkit Mebroot), Torpig constitue un type de réseau de zombies qui est répandu par divers chevaux de Troie. Il touche les ordinateurs sous Microsoft Windows. Torpig contourne les logiciels antivirus à l’aide de la technologie du rootkit, et il balaie le système infecté afin de dénicher des authentifiants de connexion, des comptes et des mots de passe. Il est possible que les pirates disposent d’un accès complet à l’ordinateur. En outre, on croit qu’il est en mesure de modifier les données de l’ordinateur et de réaliser des attaques de type « man-in-the-browser ». (Source : http://en.wikipedia.org/wiki/Torpig)

Il porte également le nom « Win32.Anserin.C » (Computer Asso, Troj/Torpig-k [Sophos]).

Consultez la page suivante pour obtenir plus de renseignements :

http://en.wikipedia.org/wiki/Torpig

http://www.spamfighter.com/News-11683-Rootkit-Torpig-Described-as-Most-Dangerous-Malware.htm

http://www.symantec.com/security_response/writeup.jsp?docid=2005-112315-0608-99

http://www.symantec.com/connect/blogs/flow-mbr-rootkit-trojan-resumes

http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Torpig-A.aspx 

  • Type de drone : Trojan.Simda

Trojan:Win32/Simda est un cheval de Troie à plusieurs composantes qui télécharge et exécute des fichiers arbitraires. Ces fichiers peuvent contenir d’autres types de maliciels.

Consultez la page suivante pour obtenir plus de renseignements :

http://www.virusradar.com/Win32_Simda.B/description

http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Simda

http://www.virusradar.com/Win32_Simda.B/description

http://www.avgthreatlabs.com/virus-and-malware-information/info/simda/ 

  • Type de drone : Urlzone

Apparu en 2009, Urlzone est un cheval de Troie bancaire, dont la fonction principale est de camoufler les preuves de fraude en modifiant à la volée le solde du compte de la victime.

Consultez la page suivante pour obtenir plus de renseignements :

https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base#Urlzone

http://www.pcmag.com/article2/0,2817,2353610,00.asp

http://krebsonsecurity.com/tag/url-zone-trojan/

https://threatpost.com/inside-urlzone-trojan-network-100609/72203

http://labs.m86security.com/2009/09/malware-analysis-trojan-banker-urlzonebebloh/ 

  • Type de drone : Zeus

Zeus, ZeuS ou Zbot représente un maliciel de type cheval de Troie qui s’exécute sur les ordinateurs utilisant diverses versions du système d’exploitation Microsoft Windows. Même s’il peut servir à exécuter plusieurs maliciels et à réaliser des actes criminels, il est plutôt utilisé pour voler des renseignements bancaires par la capture de frappe et la saisie des renseignements entrés dans les formulaires (attaques de type « man-in-the-browser »). Il sert également à installer le rançongiciel CryptoLocker. Zeus est répandu principalement par des téléchargements furtifs et des procédés d’hameçonnage. Découvert pour la première fois en juillet 2007 lorsqu’il a été utilisé pour voler des renseignements du ministère des Transports des États-Unis, il se répand largement en mars 2009. En juin 2009, l’entreprise de sécurité Prevx évalue que Zeus a compromis plus de 74 000 comptes FTP sur le site Web d’entreprises comme Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon et BusinessWeek. (Source :http://fr.wikipedia.org/wiki/Zeus_(cheval_de_Troie))

Consultez la page suivante pour obtenir plus de renseignements :

http://fr.wikipedia.org/wiki/Zeus_(cheval_de_Troie)

https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base#Zeus

https://zeustracker.abuse.ch/statistic.php

http://www.antisource.com/article.php/zeus-botnet-summary

https://www.youtube.com/watch?v=CzdBCDPETxk

http://www.b3b.ch/2010/12/12/zeus-le-dieu-des-virus-contre-les-banques/

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf

http://www.secureworks.com/cyber-threat-intelligence/threats/zeus/ 

  • Type de drone : Zeus3np2p

De nouvelles variantes de la trousse de cybercriminalité Zeusbot/SpyEye délaissent les canaux de commande et de contrôle au profit de l’architecture de type homologue (de pair à pair).

Consultez la page suivante pour obtenir plus de renseignements :

http://www.theregister.co.uk/2012/02/27/p2p_zeus/ 

  • Type de drone : Autre

Si le type du drone que vous recherchez n’est pas énuméré dans cette liste, consultez les sites Web suivants pour obtenir plus de renseignements :

https://www.owasp.org/index.php/OWASP_Anti-Malware_-_Knowledge_Base

http://www.bitdefender.com/site/Search/

http://www.symantec.com/security_response/landing/threats.jsp

http://www.avgthreatlabs.com/virus-and-malware-information/

- http://www.microsoft.com/security/portal/threat/threats.aspx

http://windows.microsoft.com/en-us/windows/security-essentials-download

http://about-threats.trendmicro.com/us/threatencyclopedia

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk