Cedric PERNET - Forensics, Malware & Cybercrime

Aller au contenu | Aller au menu | Aller à la recherche

mercredi 30 septembre 2009

Etude de réseaux d'affiliation : les Partnerka

Dmitry Samosseiko de Sophos s'est penché sur un type de cybercriminalité qui, bien que n'étant pas récent, n'a pas fait l'objet de beaucoup d'études quant à présent. Il s'agit du phénomène de l'affiliation.

Le principe est simple, et issu du marketing : des internautes disposant de sites web sont rémunérés par des sociétés d'affiliation ou des webmarchands afin de leur amener du trafic. Plus vous amenez de visiteurs à votre affiliant, plus vous gagnez d'argent.

Le hic, c'est que des cybercriminels utilisent l'affiliation de façon frauduleuse, et ce depuis plusieurs années, le phénomène n'étant pas nouveau mais faiblement documenté sur Internet.

L'étude de Sophos se concentre donc sur le déploiement de l'affiliation dans un cadre totalement illicite : l'affiliation vers des produits illégaux. En tête de liste, les sites de contrefaçons, qu'elles soient de produits pharmaceutiques (Viagra, Cialis, Levitra etc.), ou de produits de luxe (montres, sacs à mains etc.) ... D'autres sites ayant un fort besoin de trafic ne sont pas forcément illégaux mais encouragent des méthodes douteuses d'affiliation: casinos sauvages, sites pornographiques etc.

Et bien sûr, phénomène très en vogue ces derniers temps : les sites de "rogue anti-virus" ou "rogue AV".

Quoi qu'il en soit, même si certains sites sont à priori légaux, les méthodes déployées par les affiliés pour amener du trafic le sont moins :

  • Spam par milliards d' e-mails, avec un lien menant vers le site qui contient le numéro de l'affilié et lui permet d'empocher ses gains. Ces liens peuvent se présenter sous une forme très simple : un clic sur http://monsitepr0n.com/index.php?aff=123456789 indiquera au site monsitepr0n.com que le visiteur a été envoyé par l'affilié numéro 123456789 ... Cette méthode est de moins en moins déployée cependant, n'étant pas très discrète...
  • Malware de type chevaux de Troie (trojan) : l'utilisateur infecté effectue des recherches sur Google par exemple, et ne se rend pas compte que les résultats sont générés par le malware afin de pousser des liens vers les affiliants en premiers résultats...
  • Black-hat SEO (Search Engine Optimization) : Il s'agit ici de déployer un ensemble de techniques de SEO pour amener du trafic vers les affiliants : spams sur forums, Spamdexing, utilisation de divers logiciels de SEO, etc. Il n'est vraiment pas difficile de trouver des sites sur le sujet, avec forums, même en français ...
  • Génération de faux sites : les fraudeurs créent au moyen d'outils des sites qui référencent des mots-clefs très spécifiques amenant de nombreux visiteurs, et essayent de les pousser à cliquer sur n'importe quel lien, qui mène toujours à un affiliant... La méthode a en plus l'avantage de faire monter les sites affiliants dans les moteurs de recherche ...

L'exemple de GlavMed pris par Sophos est très intéressant : Glavmed fournit clef en main tout le nécessaire pour déployer un site de type "Canadian Pharmacy" rapidement ... Il ne reste plus qu'à générer du trafic, et par ici la monnaie...

J'en reste là, mais je vous encourage fortement à lire cette étude. Je m'excuse également de vous la signaler aussi tard (elle a été publiée il y a une bonne semaine) mais comme vous le savez je ne blogge que sur mon temps libre, et je n'en ai pas beaucoup en ce moment... D'ailleurs je me suis senti obligé de sacrifier ma pause déjeuner ce midi pour écrire ce petit post, j'espère que vous apprécierez ce geste à sa juste valeur ;-))

Plus sérieusement, cette étude a malheureusement été très peu relayée par les médias français. Il semble que la seule information qui ait été retenue et reprise soit le fait que chaque installation d'un malware sur Mac était rémunérée 0.43 $. Je trouve ça un peu dommage, pour un papier dont la lecture est aussi agréable et intéressante.

Enfin, si le sujet vous intéresse, notamment l'aspect pharmaceutique, je vous encourage si ce n'est déjà fait à lire les travaux de Guillaume Arcas dans MISC. Guillaume, que je salue au passage, a bien creusé le domaine, et apporte des éléments vraiment pertinents. Un must :-)

mercredi 26 août 2009

Message Labs Intelligence Report - August 2009

Message Labs just published its Intelligence Report for August 2009.

As usual, it is a very interesting paper that I recommend you to read if you're concerned with spam/botnet/malware issues.

This report is especially interesting because it shows us the consequence (in terms of botnet activity) of the takedown of "Real Host", a bulletproof hosting company located in Latvia. This reminds me of something...

The Cutwail botnet for example showed a fall of 90% of its activity in the hours following the takedown.

What we can also notice is an increase of the use of short-urls in spam (mainly by the Donbot botnet).

mardi 26 mai 2009

Etude Pushdo by Trend Micro


Après la vague de documents de qualité variable sur le malware Conficker/Downadup/Kido, que je n'ai pas commenté ici par manque de temps, et après l'excellente étude de Torpig de l'Université de Santa Barbara, largement commentée par les médias, j'ai décidé de sortir de ma torpeur et de mon planning plutôt chargé pour partager avec vous un document un peu moins médiatisé mais que j'ai trouvé absolument délicieux : l'étude du malware Pushdo/Cutwail/Pandex réalisée par Trend Micro.

Cet excellent document de 39 pages nous décrit le botnet constitué par le malware Pushdo. Techniquement, ce produit probablement russophone se décompose en deux parties : le downloader, nommé Pushdo, et d'autres modules (payloads) dont le fameux Cutwail, destiné exclusivement à envoyer du spam. Nous y apprenons que Pushdo délivre environ 7,7 milliards de spam par jour, la majorité ciblant la Russie, fait suffisamment étonnant pour être souligné.

Le contenu des spam est varié. Cutwail propage en effet de la publicité pour des sites pornographiques payants, ainsi que pour des sites de contrefaçon pharmaceutique (Canadian Pharmacy), pour des sites de contrefaçon de produits de luxe (replica watches etc.), et spamme même de la publicité pour des commerces russes "locaux". Ainsi, le document de Trend nous montre preuve à l'appui un spam destiné à promouvoir un cabinet d'avocats de Moscou, par exemple. Pushdo envoie même des e-mails pour faire...sa propre publicité.

Ce botnet, qui serait le second plus gros botnet mondial, est géré par des cybercriminels dans un but commercial : proposer leurs services pour envoyer des spam "sur mesure".

Des grilles de tarifs très précises sont d'ailleurs indiquées par ces criminels :

  • 4000 roubles (environ 90 Euros) pour spammer 1 million d'adresses d'entreprises de Moscou.
  • 12000 roubles pour spammer 6 millions de particuliers sur Moscou.
  • 18000 roubles pour spammer 10 millions de particuliers dans toute la Russie.


Mais le service n'est pas limité à la Russie : des tarifs sont fournis par pays. Ainsi, cela reviendrait à 7000 roubles pour spammer 3 millions de particuliers français.

D'un point de vue technique, Pushdo/Cutwail est plutôt bien programmé, et tente de se dissimuler au mieux sur un système infecté : opérations minimales d'écriture sur le disque de la victime (la plupart des informations sont stockées en mémoire et non sur le disque), et son code varie très fréquemment. En plus de ses fonctionnalités de spam, Pushdo peut déposer d'autres malware sur le système infecté, permettant ainsi de générer d'autres revenus pour ses propriétaires : un service de distribution de malware. D'autre part, il embarque un module de sniffing qui lui permet de faire de la collecte d'adresses e-mail, alimentant probablement les listes ciblées établies par ses exploitants. Ce réseau va même jusqu'à proposer à ses clients de leur créer des sites web, pour que leurs spams gagnent en crédibilité...

De nombreux éléments dans l'enquête de Trend laissent à penser que ses auteurs et ses exploitants sont russes. Notamment une clef de chiffrement contenue dans le malware, qui se révèle être une phrase russe écrite à l'envers et pouvant être traduite par "screw you my friend".

Quant au site principal des auteurs, son hébergement varie. J'ai effectué une recherche rapide et pu trouver très rapidement 135 autres noms de domaines hébergés au même endroit (actuellement en Allemagne), dont voici la liste:

0yandex.ru

1spam.ru

2009-rosmould.ru

abusehost.ru

abushost.ru

abuz-host.ru

abuzhost.ru

advert1.ru

akrobo.ru

allo-intim.ru

analyzersrlp3.ru

balashcity.ru

balashclty.ru

balashhouse.ru

balashlhouse.ru

balashouse.ru

bal-ka.ru

ballashouse.ru

bldroup.ru

bl-roup.ru

bluectone.ru

buildhost.ru

cammin.ru

clulbclha.ru

collortrac.ru

delaemsayti.ru

detmirru.ru

devisex.ru

ecopane1.ru

email-advert.ru

email-spam.ru

emailspam.ru

email-s.ru

engl4u2.ru

enterboom.ru

eralash-megashou.ru

evroreklama.ru

farma-reklama.ru

fingertru.ru

flowermagazin.ru

forumdeneg.ru

forum-it.ru

giftoportal.ru

goohost.ru

gooreklama.ru

granlt-m.ru

gssotravell.ru

halljas.com

hotellmetallurg.ru

hot-english.ru

hruhru.ru

igrushki-detiam.ru

inet-email.ru

inter-reklama.ru

isuzu-darom.ru

kdr-english.ru

kompforum.ru

kompkatalog.ru

lky-ky.ru

llght-decor.ru

madeforwomen.ru

magazinreklamy.ru

magicstaffmed.ru

mailadvertising.ru

mailer1.ru

med-consulting.ru

metalstuff.ru

mnogonarodu.ru

neintim.ru

ns1.buildhost.ru

online-email.ru

online-korp.ru

online-mail.ru

online-mas.ru

online-master.ru

online-million.ru

online-standart.ru

online-start.ru

online-vzlet.ru

origtovary.ru

peklama-best.ru

pereplanlrovka.ru

pingov.ru

poligrafarsenal.ru

polligrafarssenal.ru

polligralfarsenall.ru

poslh-slhop.ru

ppkurort.ru

precisely.ru

printarsenal.ru

proektclty.ru

projekt-online.ru

rassilka-online.ru

reklamict.ru

reklmagazin.ru

reseller-soft.ru

rosmould-2009.ru

rucasinoru.ru

rucvetokru.ru

ruintimru.ru

rukinomania.ru

saitbaz.ru

seminar-on-line.ru

seomagnat.ru

setevaya-reklama.ru

setevayareklama.ru

shablon1.ru

sitepostroim.ru

sklb-trm.ru

smszasex.ru

spam502.ru

spamarena.ru

spam-magazin.ru

spamonline.ru

spmagazin.ru

spmmagazin.ru

stroyka-best.ru

stroy-systems.ru

super-fuel-max.ru

super-kvartiry.ru

super-mailer.ru

super-rassylka.ru

svet-rus.ru

testcenterrt.ru

topspam.ru

turistmag.ru

video77.ru

vldeo-girl.ru

wmir.biz

yandex1.ru

zemli777.ru

zemlya777.ru

zmailer.ru

zvezdam.ru

La plupart des noms sont suffisamment explicites... Un joli nid bulletproof à services de spam, parmi autres joyeusetés. Je ne saurais que trop vous conseiller de ne pas aller y naviguer, la probabilité qu'ils propagent du malware n'étant pas négligeable...

Nul doute en tout cas que nos boites aux lettres vont continuer à souffrir de ce genre de services à la demande.

mardi 7 octobre 2008

Atrivo, botnet, spam ...

On m'a *un peu* reproché de favoriser l'anglais sur ce blog, sachant que j'avais annoncé au départ que la proportion d'articles FR/EN serait à peu près respectée... Est-ce ma faute si je dispose majoritairement de flux RSS en anglais, et que les seules mailing-lists que je trouve intéressantes le sont également ? :-)

Bref, ce post n'est pas là pour blablater sur cet aspect linguistique, mais bien pour faire un peu le point sur le cas Atrivo/Intercage.

Pour rappel, cet hébergeur localisé aux US sur lequel j'ai déjà bloggé ici et hébergeait apparemment 100% de données illicites telles que de la pédopornographie, des consoles d'administration de malware, du phishing, des faux sites, j'en passe et des meilleures...

Suite à l'étude de Jart Armin (lien dans mon premier post sur Atrivo, *flemme*) et au mouvement d'ensemble de la communauté de lutte contre la cybercriminalité, Atrivo se retrouvait sans connexion, après quelques épisodes de changement de peer etc.

Un nouvel article, cette fois-ci d'Ars Technica, apporte de l'eau au moulin. L'article nous indique ainsi que selon Messagelabs, qui est entre autre je le rappelle un *énorme* gestionnaire de trafic e-mail, l'activité globale des botnets s'est vue baisser de façon significative à la fermeture d'Atrivo :

L'impact a été de courte durée, puisqu'Atrivo est revenu online après sa première fermeture du 21 septembre 2008, et que certains de leurs clients ont probablement commencé à migrer rapidement toutes leurs données illicites et leurs command&control vers d'autres hébergeurs bulletproof.

Le spam quant à lui, malgré le fait que d'autres facteurs soient à prendre en compte, a baissé de 8,1% pour septembre 2008.

La fermeture d'Atrivo depuis le 21 septembre a fait couler beaucoup d'encre, et la communauté des professionnels de la sécurité informatique et de la lutte contre la cybercriminalité semble actuellement sur un mode de réflexion un peu plus mature que simplement vouloir fermer de nouveaux hébergeurs bulletproof, et dieu sait qu'il y en a encore un bon paquet. Les réflexions sur une meilleure collaboration avec les services judiciaires font partie intégrante de cette réflexion, de laquelle il émergera peut-être de nouvelles méthodes de lutte contre ce type d'hébergeurs. Time will tell.

samedi 21 juillet 2007

Spammer Interview


Macworld released an interesting spammer interview this week ... It is just confirming what I always thought : spammers became real business men...

Original link is here, but I'll copy/paste you the content here anyway :

“Ed,” a retired spammer, built a considerable fortune sending e-mails that promoted pills, porn and casinos. At the peak of his power, Ed says he pulled in $10,000 to $15,000 a week, storing the money in $20 bills in stacks of boxes.

It was a life of greed and excess, one that preyed especially on vulnerable people hoping to score drugs or win money gambling on the Internet. From when he was expelled from high school at 17 until he quit his spam career at 22, Ed — who does not reveal his full name but sometimes goes by SpammerX — was part of an electronic underworld profiting from the Internet via spam.

“Yes, I know I’m going to hell,” said Ed, who spoke in London on Wednesday at an event hosted by IronPort Systems, a security vendor now owned by Cisco Systems. “I’m actually a really nice guy. Trust me.”

A quick-witted and affable guy who wears an earring and casual clothes, there was a time when Ed wasn’t so nice. He sent spam to recovering gambling addicts enticing them to gambling Web sites. He used e-mail addresses of people known to have bought antianxiety medication or antidepressants and targeted them with pharmaceutical spam.

In short, Ed said he was “basically what people hate about the Internet.”

He spent 10 hours a day, seven days a week studying how to send spam and avoid filtering technologies in security software designed to weed out garbage e-mail. Most spam filters are effective 99 percent of the time; he aimed for that remaining window, using tricks such as including slightly different images in his spam, which can fool filters into thinking the e-mail is legitimate.

“The better I got at spam, the more money I made,” Ed said.

He would start a spam run by finding an online merchant who wanted to sell a product. Then he’d acquire a list of e-mail addresses — another commodity that has spawned its own market in the world of spam. He’d also set up a domain name, included as a link in a spam message, that, if clicked, would redirect the recipient to the merchant’s Web site, enabling Ed to get credit for the referral.

The spam would then be sent from a network of hacker-controlled computers, called botnets. Those machines are often consumer PCs infected with malicious software that a hacker can control. Ed would “rent” time on those computers from another group of hackers that specialized in creating botnets.

If one of the spam recipients bought something, Ed would get a percentage of the sale. For pharmaceuticals the commission was around 50 percent, he said.

Response rates to spam tend to be a fraction of 1 percent. But Ed said he once got a 30 percent response rate for a campaign. The product? A niche type of adult entertainment: photos of fully clothed women popping balloons.

To track the money, merchants set up a “referral sales page” where spammers can see how much they make from a spam run. Ed would log in frequently, watching the money increase. He was paid into electronic payment transfer accounts, such as e-gold or PayPal, or into his debit card account, which he could cash out in $20 bills.

That became problematic when the cash became voluminous. He says he made $480,000 his last year of spamming. But the lifestyle of being a spammer was taking a toll. In essence, he had no life.

It’s hard to go into a bar and explain your job to a woman by saying “I advertise penis enlargement pills online,” Ed said. “It doesn’t go down very well.”

He rationalized his actions by saying spamming is not like robbing someone, although the lurid impact of spam was clear. Some nine million Americans have some dependence on prescription drugs, Ed said, and he noticed that the same people were buying different drugs each month. “These were addicts,” he said.

Additionally, “the product is always counterfeit to some degree. If you’re lucky, sometimes it’s a diluted version of the real thing,” he said. Viagra is cut with amphetamines, and homemade pills are common from sketchy labs in countries such as China, India and Fiji, Ed said.

So Ed got out of the business. He’s written a book, “Inside the Spam Cartel: Trade Secrets from the Dark Side,” which he said has had some take-up in law enforcement circles eager to learn more about the spam business, which he projects will only get worse.

As broadband speeds increase, spammers will increasingly look to market goods by making VOIP (voice over Internet Protocol) calls or sending out videos, Ed said. The ultimate unsolvable problem is users, who continue to buy products marketed by spam, making the industry possible.

“I think in 10 years we’ll still get spam,” Ed said. “Be prepared to be bombarded.”

mercredi 13 juin 2007

Réunion OSSIR du 12 juin 2007


Une fois n'est pas coutume, je vais parler un peu de la réunion d'hier du groupe SUR (Sécurité Unix et Réseau) de l'OSSIR (Observatoire de la Sécurité des Systèmes d'Information et des Réseaux) ...

Pour rappel, l'OSSIR se réunit à peu près une fois par mois, en deux dates distinctes, l'une pour le groupe Windows, et l'autre pour le groupe SUR.
Les réunions se déroulent en fonction des opportunités de disponibilités de salles proposées en général par des adhérents de l'OSSIR.

Hier donc, c'était à EPITA

Les deux sujets abordés étaient "Spam Images" et "Mise au point d'un filtre HTTP avec filtrage par liste blanche et apprentissage".

Spam Images
Louis Nyffenegger - Hervé Schauer Consultants

Cette présentation, que vous pouvez trouver ici, s'est révélée très intéressante. Pour m'être déjà un peu intéressé moi-même à ce type de spam, je m'attendais un peu à m'ennuyer, mais pas du tout. Louis (que j'ai déjà eu l'occasion d'entendre concernant la détection de rootkits sous Linux) est un très bon orateur, et ses réflexions se sont révélées très à-propos.

J'ai notamment appris, et je ne l'aurai pas soupçonné, une information mathématique "amusante" mais surtout très utile que je vous expose ici :
Prenez deux spams contenant la même image.
Sauvegardez ces deux images "identiques" sur votre système, et lancez un calcul de hash MD5 dessus.
Evidemment, vous obtenez un hash MD5 différent, tout simplement parce que les spammers utilisent plusieurs techniques très simples pour que les images de chaque mail ne soient pas "exactement" semblables, afin de contre-carrer une bête blacklist de hash MD5 quelconque.
Maintenant, reprenez ces deux images, réduisez-les en 40*40 ar exemple, et refaites un calcul de hash MD5.
Vous obtenez un hash identique.
Je n'ai pas le détail des tests effectués... Evidemment le taux de réussite doit être variable en fonction de la méthode utilisée par le spammer pour créer ses images, du format de l'image (je me pose la question par rapport à la compression de jpg par exemple), etc... mais il serait intéressant d'étudier plus avant cette méthode d'identification d'images...

Mise au point d'un filtre HTTP avec filtrage par liste blanche et apprentissage
Vincent Deffontaines - INL

Là encore, un orateur sympa et très compétent, puisque capable de nous tenir en haleine devant un simple tty pour sa démo, qui n'a pas souffert de l'"effet démo" pour notre plus grand plaisir...

Tout le monde connait Apache, et certains de ses modules, mais connaissiez-vous ModSecurity ?
Ce module possède de nombreux avantages, et notamment de pouvoir logger beaucoup plus de choses que dans votre access.log habituel ... Et de gérer votre trafic web par des règles de filtrage.
Il existe des convertisseurs de vos règles snort en règles modsecurity, mais finalement, rien n'existait pour avoir un vrai learning-mode modsecurity du trafic web et créer ainsi des règles de filtrage efficaces, selon le principe des white-lists.

Après avoir présenté modsecurity, Vincent nous présente donc un nouveau produit INL, Ouadjet, capable de générer des règles de filtrage en un format XML à partir de trafic web, modifiables à la main, et ce autant sur vos requêtes GET que sur vos requêtes POST. (Eh oui, c'est merveilleux)

Cet XML est ensuite convertible en format modsecurity ... Plus qu'à ajouter les nouvelles règles de filtrage, redémarrer le serveur Apache... Et le tour est joué :-)

Décidément, beaucoup de talents chez cette jeune société française qui se bat élégamment pour le libre ;-)

Add-on: le lien vers la présentation de Vincent est ici.

mercredi 23 mai 2007

Isn't it wonderful ?


Here is a very interesting article from silicon.com ...

This article's about the preliminary approval from the Internet Engineering Task Force to the DKIM (DomainKeys Identified Mail) project.

Names such as Cisco, Yahoo, PGP Corporation and Sendmail are behind it, and this new system should be a good step in illegitimate spam fighting. Not perfect, but still a step.

The main principle is that mailers would include a digital signature (using public key cryptography supposedly being unforgeable) to prove they are the true senders.

Imho, this system is far from being perfect, but it still is one good step...

mercredi 18 avril 2007

Antispam .clear & captcha


Hop, j'étais très peu embêté par les spams de blog jusqu'à présent, mais depuis une semaine j'en reçois de plus en plus...

Il était donc temps d' utiliser une solution antispam pour Dotclear ...

Après un peu de googling, j'ai opté pour Spamclear qui en est à sa version 2.1 au moment où j'écris.

L'installation ne nécessite rien de particulier, tout juste une ligne de code à ajouter dans un script PHP afin de protéger les trackbacks en plus...
spamclear a été développé par Mahdi BEN HAMIDA.

Si nécessaire, je reposterais pour commenter ce petit plugin qui m'a l'air pas mal...

EDIT:
Finalement ce seul plugin ne suffisait pas ... J'ai donc rajouté un plugin captcha (Disponible ici)

mardi 13 mars 2007

Numberz


I know, I'd better post personnal stuff/comments on the blog instead of other people's articles, but... I'm lazy and have few time at the moment for it ;-)

Anyway, here's another interesting article about playing with numbers ... Written by Dr. Neal Krawetz, it tells us about laptop losses and about spam/phishing ...

To bounce on this topic, I'm amazed by the number of employees who are allowed to take home their professional laptop, and who are having no idea of what computer security is.
They are taking the laptop home, storing personnal and professional infos without any encryption, connecting the machine to Internet, and so on...

All of this is driving me quite mad, to stay polite ;-)