Cedric PERNET - Computer Security, Forensics, Malware & Cybercrime

Aller au contenu | Aller au menu | Aller à la recherche

Tag - bulletproof

Fil des billets - Fil des commentaires

jeudi, août 27 2009

Etude Trend Micro : A Cybercrime Hub

Par Cedric Pernet le jeudi, août 27 2009, 13:11 - Cybercrime

Trend Micro a publié hier une étude passionnante intitulée "A Cybercrime Hub".

Cette étude nous présente une compagnie estonienne qui sous des apparences légitimes se trouvait être totalement illicite. Cette compagnie, dont le nom est tu par Trend mais qu'il est facile de découvrir en googlant un peu, existe depuis 2005. Ses principales activités sont l'hébergement de contenus web, la distribution de trafic web, et la publicité. Jusqu'en octobre 2008 environ cette compagnie était même agréée par l'ICANN pour enregistrer des noms de domaines Internet.

Les data-center de cette compagnie sont répartis partout dans le monde, sous forme de serveurs achetés ou loués, avec une prédominance aux Etats-Unis. Ainsi, lorsque l'un de ces data-center est fermé, comme ce fut le cas en 2008 à San Francisco (ça ne vous rappelle rien ?) il suffit de basculer ailleurs ... Et de tout remettre en route en quelques heures !

Le quotidien de cette entreprise est en fait entièrement orienté vers la cybercriminalité sous des formes de fraudes diverses et variées. La plupart des jeunes employés de la compagnie, pour la plupart des étudiants ayant une vingtaine d'années et habitant dans la région de Tartu en Estonie, utilisent toutes leurs compétences techniques pour fournir des services frauduleux.

Le document se focalise sur certains aspects techniques déployés par les cybercriminels :

  • Installation et utilisation de serveurs DNS frauduleux (dits "Rogue DNS Servers") depuis 2005. Le principe est simple et efficace. Il s'agit de déployer de multiples serveurs DNS sur Internet, qui présentent tous les aspects d'un serveur DNS légitime, mais dont le comportement est tout autre : chaque requête DNS qu'ils reçoivent renvoient vers des sites frauduleux en lieu et place de sites légitimes.
  • Infection de victimes par un malware de type "DNS Changer". Il s'agit du complément idéal d'un serveur DNS frauduleux : pour que les machines des victimes envoient leurs requêtes DNS vers les serveurs DNS frauduleux, il faut que la configuration de leur machine pointe vers eux. Le malware change la configuration des victimes, qui n'y voient que du pare-feu. Du coup, leurs requêtes DNS légitimes se voient obtenir des réponses telles que souhaitées par les fraudeurs : redirection vers des sites hébergeant d'autres malware, vers des sites de phishing, etc.
  • Détournement des publicités dans les pages web du navigateur de la victime. La plupart des publicités que vous voyez sur Internet lorsque vous naviguez sont en fait hébergées par des tiers. Du coup, les fraudeurs ont pensé à détourner cette caractéristique, de façon transparente pour la victime infectée: alors qu'elle navigue tranquillement sur des sites de confiance, les publicités de ces sites (souvent des "Google ads") sont remplacées par des publicités de sites gérés par les fraudeurs. On pense ici en particulier à la contrefaçon pharmaceutique.
  • Installation de faux anti-virus (dits "Rogue AV") sur la machine de la victime. Les victimes allant vers certains sites contrôlés par les fraudeurs, notamment pornographiques, voient leur accès refusé sous prétexte d'être infectés par un malware. En fait, il s'agit d'un message placé par les fraudeurs eux-même. Le message est suivi d'une proposition de téléchargement d'un logiciel anti-virus. En juillet 2009, environ 100 000 machines se sont connectées sur l'un de ces sites, selon Trend Micro. Bien sûr, l'anti-virus proposé n'est autre... qu'un autre malware. S'il décide en plus de payer la license pour ce prétendu anti-virus, devinez qui récolte l'argent ? Eh oui, ces cybercriminels sont partout...
  • Détournement des requêtes Google des utilisateurs infectés : cette technique donne l'impression à l'utilisateur d'obtenir des résultats Google totalement cohérents, alors qu'en fait ils ont été manipulés par les fraudeurs.

Le papier de Trend Micro nous montre une structure élaborée, avec un intranet particulièrement bien conçu pour être déplacé régulièrement, sans trop entrer dans les détails techniques. La compagnie estonienne dispose de fortes compétences techniques, et sait les déployer et s'en servir de façon efficace. Leur niveau technique est impressionant, mais ce qui m'impressionne surtout, c'est cette capacité à toujours être innovant en termes de cybercriminalité. En seulement 4 ans, cette société a déployé des trésors d'imagination pour générer un maximum de profit.

Les "busts" récents sur un certain nombre d'hébergeurs bulletproof, non pas effectués par les services de Police mais par la communauté de la sécurité informatique et de la cybercriminalité, n'ont finalement eu pour effet sur le long terme que de rendre les cybercriminels plus méfiants, et plus prévoyants : s'attendant à se faire fermer à tout moment, ils sont capable d'apparaitre ailleurs très rapidement. On ne peut que craindre une augmentation de ce type de malveillances, tant que les législations internationales ne seront pas améliorées pour permettre aux forces de l'ordre de migrer ces fraudeurs vers une cellule bulletproof. :-)

3 commentaires aucun rétrolien

mardi, mai 26 2009

Etude Pushdo by Trend Micro

Par Cedric Pernet le mardi, mai 26 2009, 00:00 - Malware


Après la vague de documents de qualité variable sur le malware Conficker/Downadup/Kido, que je n'ai pas commenté ici par manque de temps, et après l'excellente étude de Torpig de l'Université de Santa Barbara, largement commentée par les médias, j'ai décidé de sortir de ma torpeur et de mon planning plutôt chargé pour partager avec vous un document un peu moins médiatisé mais que j'ai trouvé absolument délicieux : l'étude du malware Pushdo/Cutwail/Pandex réalisée par Trend Micro.

Cet excellent document de 39 pages nous décrit le botnet constitué par le malware Pushdo. Techniquement, ce produit probablement russophone se décompose en deux parties : le downloader, nommé Pushdo, et d'autres modules (payloads) dont le fameux Cutwail, destiné exclusivement à envoyer du spam. Nous y apprenons que Pushdo délivre environ 7,7 milliards de spam par jour, la majorité ciblant la Russie, fait suffisamment étonnant pour être souligné.

Le contenu des spam est varié. Cutwail propage en effet de la publicité pour des sites pornographiques payants, ainsi que pour des sites de contrefaçon pharmaceutique (Canadian Pharmacy), pour des sites de contrefaçon de produits de luxe (replica watches etc.), et spamme même de la publicité pour des commerces russes "locaux". Ainsi, le document de Trend nous montre preuve à l'appui un spam destiné à promouvoir un cabinet d'avocats de Moscou, par exemple. Pushdo envoie même des e-mails pour faire...sa propre publicité.

Ce botnet, qui serait le second plus gros botnet mondial, est géré par des cybercriminels dans un but commercial : proposer leurs services pour envoyer des spam "sur mesure".

Des grilles de tarifs très précises sont d'ailleurs indiquées par ces criminels :

  • 4000 roubles (environ 90 Euros) pour spammer 1 million d'adresses d'entreprises de Moscou.
  • 12000 roubles pour spammer 6 millions de particuliers sur Moscou.
  • 18000 roubles pour spammer 10 millions de particuliers dans toute la Russie.


Mais le service n'est pas limité à la Russie : des tarifs sont fournis par pays. Ainsi, cela reviendrait à 7000 roubles pour spammer 3 millions de particuliers français.

D'un point de vue technique, Pushdo/Cutwail est plutôt bien programmé, et tente de se dissimuler au mieux sur un système infecté : opérations minimales d'écriture sur le disque de la victime (la plupart des informations sont stockées en mémoire et non sur le disque), et son code varie très fréquemment. En plus de ses fonctionnalités de spam, Pushdo peut déposer d'autres malware sur le système infecté, permettant ainsi de générer d'autres revenus pour ses propriétaires : un service de distribution de malware. D'autre part, il embarque un module de sniffing qui lui permet de faire de la collecte d'adresses e-mail, alimentant probablement les listes ciblées établies par ses exploitants. Ce réseau va même jusqu'à proposer à ses clients de leur créer des sites web, pour que leurs spams gagnent en crédibilité...

De nombreux éléments dans l'enquête de Trend laissent à penser que ses auteurs et ses exploitants sont russes. Notamment une clef de chiffrement contenue dans le malware, qui se révèle être une phrase russe écrite à l'envers et pouvant être traduite par "screw you my friend".

Quant au site principal des auteurs, son hébergement varie. J'ai effectué une recherche rapide et pu trouver très rapidement 135 autres noms de domaines hébergés au même endroit (actuellement en Allemagne), dont voici la liste:

0yandex.ru

1spam.ru

2009-rosmould.ru

abusehost.ru

abushost.ru

abuz-host.ru

abuzhost.ru

advert1.ru

akrobo.ru

allo-intim.ru

analyzersrlp3.ru

balashcity.ru

balashclty.ru

balashhouse.ru

balashlhouse.ru

balashouse.ru

bal-ka.ru

ballashouse.ru

bldroup.ru

bl-roup.ru

bluectone.ru

buildhost.ru

cammin.ru

clulbclha.ru

collortrac.ru

delaemsayti.ru

detmirru.ru

devisex.ru

ecopane1.ru

email-advert.ru

email-spam.ru

emailspam.ru

email-s.ru

engl4u2.ru

enterboom.ru

eralash-megashou.ru

evroreklama.ru

farma-reklama.ru

fingertru.ru

flowermagazin.ru

forumdeneg.ru

forum-it.ru

giftoportal.ru

goohost.ru

gooreklama.ru

granlt-m.ru

gssotravell.ru

halljas.com

hotellmetallurg.ru

hot-english.ru

hruhru.ru

igrushki-detiam.ru

inet-email.ru

inter-reklama.ru

isuzu-darom.ru

kdr-english.ru

kompforum.ru

kompkatalog.ru

lky-ky.ru

llght-decor.ru

madeforwomen.ru

magazinreklamy.ru

magicstaffmed.ru

mailadvertising.ru

mailer1.ru

med-consulting.ru

metalstuff.ru

mnogonarodu.ru

neintim.ru

ns1.buildhost.ru

online-email.ru

online-korp.ru

online-mail.ru

online-mas.ru

online-master.ru

online-million.ru

online-standart.ru

online-start.ru

online-vzlet.ru

origtovary.ru

peklama-best.ru

pereplanlrovka.ru

pingov.ru

poligrafarsenal.ru

polligrafarssenal.ru

polligralfarsenall.ru

poslh-slhop.ru

ppkurort.ru

precisely.ru

printarsenal.ru

proektclty.ru

projekt-online.ru

rassilka-online.ru

reklamict.ru

reklmagazin.ru

reseller-soft.ru

rosmould-2009.ru

rucasinoru.ru

rucvetokru.ru

ruintimru.ru

rukinomania.ru

saitbaz.ru

seminar-on-line.ru

seomagnat.ru

setevaya-reklama.ru

setevayareklama.ru

shablon1.ru

sitepostroim.ru

sklb-trm.ru

smszasex.ru

spam502.ru

spamarena.ru

spam-magazin.ru

spamonline.ru

spmagazin.ru

spmmagazin.ru

stroyka-best.ru

stroy-systems.ru

super-fuel-max.ru

super-kvartiry.ru

super-mailer.ru

super-rassylka.ru

svet-rus.ru

testcenterrt.ru

topspam.ru

turistmag.ru

video77.ru

vldeo-girl.ru

wmir.biz

yandex1.ru

zemli777.ru

zemlya777.ru

zmailer.ru

zvezdam.ru

La plupart des noms sont suffisamment explicites... Un joli nid bulletproof à services de spam, parmi autres joyeusetés. Je ne saurais que trop vous conseiller de ne pas aller y naviguer, la probabilité qu'ils propagent du malware n'étant pas négligeable...

Nul doute en tout cas que nos boites aux lettres vont continuer à souffrir de ce genre de services à la demande.

aucun commentaire

jeudi, novembre 13 2008

McColo exposed

Par Cedric Pernet le jeudi, novembre 13 2008, 13:00 - Cybercrime

Here is the link to an article I just wrote for CERT Lexsi. It's about the fraudulent hosting company McColo, and my own investigations about it.

aucun commentaire

mardi, octobre 7 2008

Atrivo, botnet, spam ...

Par Cedric Pernet le mardi, octobre 7 2008, 13:00 - Cybercrime

On m'a *un peu* reproché de favoriser l'anglais sur ce blog, sachant que j'avais annoncé au départ que la proportion d'articles FR/EN serait à peu près respectée... Est-ce ma faute si je dispose majoritairement de flux RSS en anglais, et que les seules mailing-lists que je trouve intéressantes le sont également ? :-)

Bref, ce post n'est pas là pour blablater sur cet aspect linguistique, mais bien pour faire un peu le point sur le cas Atrivo/Intercage.

Pour rappel, cet hébergeur localisé aux US sur lequel j'ai déjà bloggé ici et hébergeait apparemment 100% de données illicites telles que de la pédopornographie, des consoles d'administration de malware, du phishing, des faux sites, j'en passe et des meilleures...

Suite à l'étude de Jart Armin (lien dans mon premier post sur Atrivo, *flemme*) et au mouvement d'ensemble de la communauté de lutte contre la cybercriminalité, Atrivo se retrouvait sans connexion, après quelques épisodes de changement de peer etc.

Un nouvel article, cette fois-ci d'Ars Technica, apporte de l'eau au moulin. L'article nous indique ainsi que selon Messagelabs, qui est entre autre je le rappelle un *énorme* gestionnaire de trafic e-mail, l'activité globale des botnets s'est vue baisser de façon significative à la fermeture d'Atrivo :

L'impact a été de courte durée, puisqu'Atrivo est revenu online après sa première fermeture du 21 septembre 2008, et que certains de leurs clients ont probablement commencé à migrer rapidement toutes leurs données illicites et leurs command&control vers d'autres hébergeurs bulletproof.

Le spam quant à lui, malgré le fait que d'autres facteurs soient à prendre en compte, a baissé de 8,1% pour septembre 2008.

La fermeture d'Atrivo depuis le 21 septembre a fait couler beaucoup d'encre, et la communauté des professionnels de la sécurité informatique et de la lutte contre la cybercriminalité semble actuellement sur un mode de réflexion un peu plus mature que simplement vouloir fermer de nouveaux hébergeurs bulletproof, et dieu sait qu'il y en a encore un bon paquet. Les réflexions sur une meilleure collaboration avec les services judiciaires font partie intégrante de cette réflexion, de laquelle il émergera peut-être de nouvelles méthodes de lutte contre ce type d'hébergeurs. Time will tell.

aucun commentaire

vendredi, août 29 2008

Atrivo bulletproof host thrown under the spots

Par Cedric Pernet le vendredi, août 29 2008, 17:34 - Cybercrime

A new article from the excellent Brian Krebs has been published today on the Washington Post.

The article is spreading Jart Armin's whitepaper about ATRIVO, a famous hosting company ... Well when I say "famous" I should say famous to fraudsters and computer security researchers.

The case is quite similar to the RBN case at the end of last year : a bulletproof hosting company, acting for years, suddenly gets in the spotlights. Several things have been said concerning RBN. Having studied the organisation for a while, I have to say some releases about RBN have been upsetting me. According to almost the whole security community, RBN had disappeared...Only to be spotted and mentionned everywhere for any fraudulent action taking place in the malware/phishing/fraud world. RBN has spread all worldwide malware, has done every phishing case, has hosted all illegal content worldwide, and has attacked Georgia... Crap.

It just seems that most researchers have simply forgotten one thing: RBN had customers. When RBN "died", I heard shouts that they had gone to "AbdAllah" host for example. I think that's totally untrue ; people noticed fraudulent domains had moved from ex-RBN to AbdAllah, and claimed it was a RBN move, which wasn't, in my opinion.
Instead, it was only a move from customers, from one bulletproof hoster to another.

Now Atrivo is "following" the RBN case, being shown as an evil host. Emil K, its founder, is declaring just like Tim Jaret did for RBN, that he is responding to the abuse requests. But he doesn't. He's quite following the same politic of communication than Jaret.

As for Jart's paper, I don't agree totally with him, thought I respect his work. I won't say more, and let you read his paper. What will Atrivo's future be, now that all eyes are on them ? Will they vanish just like RBN did ? Time will tell...

Edit: (2008-09-01) It seems that some people are reacting fast (speaking of GLBX). Read this excellent article from Jose Nazario.
Edit: (2008-09-05) An excellent investigation from Knujon about Directi can be read here. Excellent work.
Edit: (2008-09-08) It seems that everyone is running away from Atrivo :
http://sunbeltblog.blogspot.com/2008/09/more-interesting-atrivointercageestdoma.html
http://voices.washingtonpost.com/securityfix/2008/09/scam-heavy_us_isp_grows_more_i.html
Edit: (2008-09-09) Another striking article from Brian about EstDomains this time. Brian is very active recently against cybercrime hosting companies and registrar, and it seems to work fine. This shows us all the power of the press... But it shouldn't go too far, since it could ruin some LE investigations. I hope it will not be the case.

Update: (2008-09-15): EstDomains declares global war against malware... Can you really believe it ? Article here.

Update (2008-09-15): Thanks to Communautech for a nice french article here.

Update (2008-09-17): Gary Warner has done a great work, showing us a huge amount of domain names pointing to Intercage. Here is the result.
Update (2008-09-22): Atrivo seems to be down for the moment. link here and here.
Update (2008-09-22): Atrivo is back tonight. Some new peering appeared, as can be seen here:

Report for AS27595
Name
INTERCAGE - InterCage, Inc.
AS Adjancency Report
In the context of this report "Upstream" indicates that there is an adjacent AS that lines between the BGP table collection point (in this case at AS2.0) and the specified AS. Similarly, "Downstream" refers to an adjacent AS that lies beyond the specified AS. This upstream / downstream categorisation is strictly a description relative topology, and should not be confused with provider / customer / peer inter-AS relationships.
27595 INTERCAGE - InterCage, Inc.
Adjacency: 1 Upstream: 1 Downstream: 0
Upstream Adjacent AS list
AS23342 UNITEDLAYER - Unitedlayer, Inc.

Thanks to cidr-report.org as usual for the info :-)

4 commentaires