Mot-clé - drive-by

Fil des billets - Fil des commentaires

mardi 16 février 2010

Phone-by Download ?

Depuis quelques années, la technique du "drive-by download" s'est développée de façon spectaculaire, permettant à des cybercriminels d'infecter des ordinateurs de façon totalement transparente. Ces ordinateurs sont souvent délaissés au niveau de leur sécurité : les patchs de sécurité ne sont pas appliqués, il n'y a pas d'anti-virus, pas de firewall ... Des machines comme ça, nous en avons tout autour de nous, et elles ne mettent jamais longtemps à se faire infecter par des malware divers et variés, malheureusement.

Le "drive-by" download désigne en fait toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu (la plupart du temps) malicieux. La méthode la plus judicieuse dans ce cadre reste d'infecter un site "légitime" et d'y placer son malware. Mettre en place un drive-by download de ce type est simple pour un pirate : il compromet d'abord un site, si possible à forte visibilité, qui garantira une forte propagation de son contenu malicieux. Puis il y place des liens, des redirections, ou directement une exploitation d'une ou plusieurs vulnérabilités.

L'ancien adage du "tu ne surferas point sur des sites immoraux, de peur d'attraper un virus" n'est plus vrai : on peut se faire infecter en naviguant sur des sites parfaitement respectables. Les exemples sont nombreux : CNN, Yahoo etc... Le premier cas de drive-by dowload sérieux dont je me souvienne est celui du stade des Dolphins de Miami, juste avant une finale de Superbowl, en 2007 : les pirates avaient réussi à compromettre le site principal de l'évènement et propageaient une variante d'Haxdoor, un malware de type cheval de Troie bien connu pour dérober notamment les accès de comptes bancaires... Un exemple précis ici, si vous voulez creuser un peu le sujet. En fait, le manque de sécurité des administrateurs de certains serveurs web joue en faveur des pirates tout autant que le manque de sécurité des postes utilisateurs. Il existe des centaines de milliers de sites légitimes compromis dans le seul but de propager du malware...

Les buts poursuivis sont variés : infections des ordinateurs par des chevaux de Troie qui vont "voler" les identifiants et mots de passe bancaires des utilisateurs, propagation de spam, collecte de données sensibles, etc.

Depuis peu, certains cybercriminels ont décidé de propager leur contenu d'une façon moins conventionnelle : ils procèdent par "phone-by download". (Je n'ai pas inventé le terme...)

En effet, j'ai eu vent d'attaques pour le moins originales ciblant des utilisateurs :

  1. Le pirate téléphone à sa victime.
  2. Le pirate se fait passer pour un centre d'appel d'un opérateur, d'une banque, d'un prestataire quelconque, tous les scénarios sont envisageables.
  3. Le pirate utilise un prétexte quelconque, souvent une mise à jour de sécurité, pour prévenir la victime de l'imminence d'un problème : "Attention, suite à (broder ici), vous devez mettre votre ordinateur à jour, sinon (décrire ici une catastrophe du style perte totale de vos images de vacances). Si le pirate est malin, il a posé quelques questions préalables qui lui permettent de connaitre le degré de crédulité de son interlocuteur.
  4. Le pirate propose alors la solution miracle : "rendez-vous sur le site xxxxxxxxxxxx.com, quand il vous demande de cliquer OK faites-le, et tout rentrera dans l'ordre."
  5. Je vous laisse imaginer ce que la victime crédule va faire... Et se retrouver infectée par un malware qu'elle aura accepté.

Cette méthode présente un inconvénient majeur pour le pirate : elle ne permet pas d'infecter beaucoup de machines. Cependant, dans le cas d'une attaque ciblée, dans laquelle le pirate vise une personne en particulier (généralement pour du vol d'informations sensibles), ce n'est pas un problème. D'autant plus que les utilisateurs commencent à se méfier des spam, mais se méfient beaucoup moins d'un contact "réel" avec un autre être humain.

Finalement, cette nouvelle attaque se contente d'utiliser les bonnes vieilles méthodes de social engineering des années 80 en mêlant usurpation d'identité et crédulité de certains utilisateurs. Efficace.

mercredi 28 mars 2007

Drive-by Pharming...


Here is an article from Zulfikar Ramzan (Symantec) about "drive-by pharming"

The theory behind this name is easy to understand : a user having a broadband router with generic passwords goes to a malicious web page, which manages to change the DNS settings of the router.
If the password has been changed, the user should be safe and not victimized.
If the user still has the generic password on his router, then his DNS settings can be changed, and the pharming starts...

Now it reminds me of a funny (or should I say silly?) story.
I had problems with my personnal Internet connection some time ago. It wasn't a problem on my side, it all came from my ISP, who also provides me with a broadband router (Livebox, not to mention it...)
I wasn't home, my girlfriend called the hotline of this ISP. She explained the problem, and the technician (should I use another word and be mean? Hmmm tempting...) answered they had to check some parameters together.
Here's the talk they had as she told me later on:

Technician: ok, open your Internet Explorer...
Girlfriend: ok, I'm opening Firefox...
Technician: well...hmmm... hmmm... (feeling uneasy) ok... enter "xxx.xxx.xxx.xxx"
Girlfriend: ok, I see a box asking me for my login and password.
Technician: good. Type twice "admin".
Girlfriend: no, this won't work.
Technician: why ??
Girlfriend: Because my boyfriend changed the password.
Technician: ????? why the hell did he do that ?????
Girlfriend: (astonished) well... hmmm... to have some kind of... security ?"

I was grinning when she told me about this call... In the end, my parameters were right, the problem was on the line itself...I won't comment more and say what I think about this kind of "technicians"... ;-)