SlideShare une entreprise Scribd logo
1  sur  27
Télécharger pour lire hors ligne
Botnets:
Les Botnets:_
La menace fantôme



Michel Cusin
Présentation – Université Laval
26 Novembre 2009
                 © Bell Canada, 2009. Tous droits réservés
Question de perception…


Selon vous,
Quel incident de sécurité est le plus grave entre:

   • Un vol d’ordinateur et être infecté par un bot ?

   • Un vol de données et un vol de données ?

   • Savoir ou ne pas savoir que nous nous sommes
     faits voler ou modifier des données ?



                  © Bell Canada, 2009. Tous droits réservés
Qu’est-ce qu’un botnet ?




                 Relais
                 Japon


   Relais
   Suisse

               Serveurs IRC
               (Internet Relay Chat)

Relais
Chine



  Client IRC
  Cuba
               © Bell Canada, 2009. Tous droits réservés
Méthodes de propagation




             © Bell Canada, 2009. Tous droits réservés
La clé USB




             © Bell Canada, 2009. Tous droits réservés
X                        OK




                           Réseau de Corporatif




© Bell Canada, 2009. Tous droits réservés
Réseau de Corporatif




© Bell Canada, 2009. Tous droits réservés
Réseau de Corporatif




© Bell Canada, 2009. Tous droits réservés
Réseau de Corporatif




© Bell Canada, 2009. Tous droits réservés
Réseau de Corporatif




© Bell Canada, 2009. Tous droits réservés
Réseau de Corporatif




© Bell Canada, 2009. Tous droits réservés
Botnet IRC




                     Cas vécu




             © Bell Canada, 2009. Tous droits réservés
Peer to peer botnet




            © Bell Canada, 2009. Tous droits réservés
Fast flux botnet


•Technique connue pour dissimuler des sites de phishing, de malware et
utilisée par les botnets.
•Cette technique utilise les caractéristiques techniques du protocole DNS
permettant d'attribuer à un même nom de domaine de nombreuses
adresses IP.
• Il est possible, afin de répartir les charges entre plusieurs serveurs,
d'attribuer plusieurs adresse IP à un seul nom de domaine. Cette
technique, Round Robin DNS, est associé avec un TTL très bas et ce afin
que les serveurs changent l'adresse attribuée très régulièrement.




                      © Bell Canada, 2009. Tous droits réservés
Fast flux botnet




             © Bell Canada, 2009. Tous droits réservés
Botnet contrôlé via Twitter / Google Groups




              © Bell Canada, 2009. Tous droits réservés
TOR: The Onion Router




           © Bell Canada, 2009. Tous droits réservés
Shadowserver Foundation




           © Bell Canada, 2009. Tous droits réservés
Shadowserver Foundation




           © Bell Canada, 2009. Tous droits réservés
Les 10 botnets les plus recherché aux USA
• 1) Zeus (3.6M) -> Spécialité: Trojan, key logger,
      •Vol des données sensibles (noms d'utilisateur, mots de passe,
      numéros de compte et numéros de carte de crédit.)
      • Il injecte de faux formulaires HTML (banque en ligne) pour voler les
      données utilisateur.

• 2) Koobface (2.9M) -> Spécialité: Réseaux sociaux, (Ing. Soc.)
      •Serveur Web, fausses annonces, installe un Antivirus malicieux,
      •Déjoue les CAPTCHA, vole des données,
      •Hijack les sessions Web, Change les Domain Name System (DNS)



Source: http://www.networkworld.com/news/2009/072209-botnets.html


                                   © Bell Canada, 2009. Tous droits réservés
Les 10 botnets les plus recherché aux USA
• 3) TidServ (1.5m): -> Spécialité: Trojan, Spam,
      •Utilise des techniques de rootkit pour courir à l'intérieur des
      services communs de Windows (parfois fourni avec un faux logiciel
      antivirus), peut cacher la plupart de ses fichiers et ses entrées de
      registre.

• 4) Trojan.Fakeavalert (1.4M) -> Spécialité: Spam, Malware
      •Autrefois utilisé pour du spam, ce botnet télécharge maintenant
      d'autres programmes malveillants, comme les fausses alertes et les
      faux logiciels antivirus.

• 5) TR/Dldr.Agent.JKH (1.2m): -> Spécialité: Clickbot
      •Le clickbot sert à générer des revenus (publicité) pour le botmaster.

Source: http://www.networkworld.com/news/2009/072209-botnets.html


                                   © Bell Canada, 2009. Tous droits réservés
Les 10 botnets les plus recherché aux USA
• 6) Monkif (520K) -> Spécialité: Adware
      • Se concentre actuellement sur le téléchargementd’un adware sur
      les systèmes.

• 7) Hamweq (480K) -> Spécialité: Réplication, Backdoor
      •Se réplique sur les système ainsi que tous les médias amovibles
      qu’il trouve. Il s’exécute automatiquement lors de l’accès à un de
      ceux-ci.
      •Il crée des entrées de registre pour permettre son exécution
      automatique à chaque démarrage et s'injecte dans Explorer.exe.
      •Le botmaster peut l’utiliser pour exécuter des commandes et
      recevoir des informations du système compromis.

Source: http://www.networkworld.com/news/2009/072209-botnets.html


                                   © Bell Canada, 2009. Tous droits réservés
Les 10 botnets les plus recherché aux USA
• 8) Swizzor (370K) -> Spécialité: Trojan, Adware
      •Télécharge et lance des fichiers à partir d'Internet sur la machine
      de la victime à l'insu de l'utilisateur.
      •Installe des adware et autres chevaux de Troie.
• 9) Gammima (230K) -> Spécialité: Trojan, Rootkit
      •Se concentre sur le vol de mots de passe et informations de
      compte de jeux en ligne.
      •Utilise des techniques de rootkit pour se charger dans l'espace
      d'adressage d'autres processus communs, tels que Explorer.exe
      •Se répand à travers les médias amovibles comme les clés USB.
      •Il est aussi connu pour être le ver qui monta dans la Station spatiale
      internationale à l'été 2008.
Source: http://www.networkworld.com/news/2009/072209-botnets.html


                                   © Bell Canada, 2009. Tous droits réservés
Les 10 botnets les plus recherché aux USA
• 10) Confiker (210K) -> Spécialité: Propagation
      •Également appelé Downadup,
      •S'est propagé de manière significative à travers le monde, mais pas
      tant aux Etats-Unis
      •Il s'agit d'un téléchargeur complexe qui est utilisée pour propager
      autres logiciels malveillants.
      •Ne semble actuellement pas avoir de but réel autre que de
      répandre.
      •Observateurs de l'industrie craignent un effet plus dangereux vont
      émerger.



Source: http://www.networkworld.com/news/2009/072209-botnets.html


                                   © Bell Canada, 2009. Tous droits réservés
Évolution des buts et motivations

• Déni de service (DoS et DDoS);
• Phishing, Spamming, Clickbot;
• Faire diversion;
• Vol / modification d’information, espionnage;
• Location de botnets. Louez-un botnet dès maintenant !
   •24 heures d’attaque - 70$
   •12 heures d’attaque - 50$
   •1 heure d’attaque - 25$

• Crime organisé (Risque faible profit élevé);
• Objectifs militaires …?
                      © Bell Canada, 2009. Tous droits réservés
Questions ?




© Bell Canada, 2009. Tous droits réservés
© Bell Canada, 2008. Tous droits réservés

Contenu connexe

En vedette

Palabras de Despedida de Gabriel García Márquez
Palabras de Despedida de Gabriel García MárquezPalabras de Despedida de Gabriel García Márquez
Palabras de Despedida de Gabriel García Márquezruthygm
 
Evaluacion del Gasoducto Parte IV
Evaluacion del Gasoducto Parte IVEvaluacion del Gasoducto Parte IV
Evaluacion del Gasoducto Parte IVCasa Pueblo
 
Globalizacion grupo 1
Globalizacion grupo 1Globalizacion grupo 1
Globalizacion grupo 1Federico
 
Trabajo informe taccle
Trabajo informe taccleTrabajo informe taccle
Trabajo informe taccleespecial04
 
Les relations avec les assureurs ( Andréa Rudaz, Hôpitaux universitaires de G...
Les relations avec les assureurs ( Andréa Rudaz, Hôpitaux universitaires de G...Les relations avec les assureurs ( Andréa Rudaz, Hôpitaux universitaires de G...
Les relations avec les assureurs ( Andréa Rudaz, Hôpitaux universitaires de G...Paianet - Connecting Healthcare
 
Spot tolleranza e integrazione
Spot tolleranza e integrazioneSpot tolleranza e integrazione
Spot tolleranza e integrazionecosty94
 
Les châteaux du Val de Les châteaux du Val de Loire, l’invention de l’archite...
Les châteaux du Val de Les châteaux du Val de Loire, l’invention de l’archite...Les châteaux du Val de Les châteaux du Val de Loire, l’invention de l’archite...
Les châteaux du Val de Les châteaux du Val de Loire, l’invention de l’archite...Mission Val de Loire
 
Retour d'experience lors de DevEXP 2013
Retour d'experience lors de DevEXP 2013Retour d'experience lors de DevEXP 2013
Retour d'experience lors de DevEXP 2013descl
 
Descripción del puesto de trabajo
Descripción del puesto de trabajoDescripción del puesto de trabajo
Descripción del puesto de trabajoProsaludocupacional
 
Expo Canitec 2010. Crecimiento económico, sociedad del conocimiento, caso N.L.
Expo Canitec 2010. Crecimiento económico, sociedad del conocimiento, caso N.L.Expo Canitec 2010. Crecimiento económico, sociedad del conocimiento, caso N.L.
Expo Canitec 2010. Crecimiento económico, sociedad del conocimiento, caso N.L.Expo Canitec
 
LA CONSTRUCCIÓN ES UN SECTOR CLAVE EN EL AHORRO Y LA EFICIENCIA ENERGETICA
LA CONSTRUCCIÓN ES UN SECTOR CLAVE EN EL AHORRO Y LA EFICIENCIA ENERGETICALA CONSTRUCCIÓN ES UN SECTOR CLAVE EN EL AHORRO Y LA EFICIENCIA ENERGETICA
LA CONSTRUCCIÓN ES UN SECTOR CLAVE EN EL AHORRO Y LA EFICIENCIA ENERGETICAEduardo Lirola
 
Serrat la vida
Serrat la vidaSerrat la vida
Serrat la vidahumanos20
 
Présentation medef 17072012
Présentation medef 17072012Présentation medef 17072012
Présentation medef 17072012busiboost
 
96 fun手弈博
96 fun手弈博96 fun手弈博
96 fun手弈博5120dyuim
 

En vedette (20)

Guía 1 optativa
Guía 1 optativaGuía 1 optativa
Guía 1 optativa
 
Palabras de Despedida de Gabriel García Márquez
Palabras de Despedida de Gabriel García MárquezPalabras de Despedida de Gabriel García Márquez
Palabras de Despedida de Gabriel García Márquez
 
Mi historia
Mi historiaMi historia
Mi historia
 
Evaluacion del Gasoducto Parte IV
Evaluacion del Gasoducto Parte IVEvaluacion del Gasoducto Parte IV
Evaluacion del Gasoducto Parte IV
 
Globalizacion grupo 1
Globalizacion grupo 1Globalizacion grupo 1
Globalizacion grupo 1
 
Trabajo informe taccle
Trabajo informe taccleTrabajo informe taccle
Trabajo informe taccle
 
Les relations avec les assureurs ( Andréa Rudaz, Hôpitaux universitaires de G...
Les relations avec les assureurs ( Andréa Rudaz, Hôpitaux universitaires de G...Les relations avec les assureurs ( Andréa Rudaz, Hôpitaux universitaires de G...
Les relations avec les assureurs ( Andréa Rudaz, Hôpitaux universitaires de G...
 
Spot tolleranza e integrazione
Spot tolleranza e integrazioneSpot tolleranza e integrazione
Spot tolleranza e integrazione
 
Les châteaux du Val de Les châteaux du Val de Loire, l’invention de l’archite...
Les châteaux du Val de Les châteaux du Val de Loire, l’invention de l’archite...Les châteaux du Val de Les châteaux du Val de Loire, l’invention de l’archite...
Les châteaux du Val de Les châteaux du Val de Loire, l’invention de l’archite...
 
Los sistemas operativos
Los sistemas operativosLos sistemas operativos
Los sistemas operativos
 
Retour d'experience lors de DevEXP 2013
Retour d'experience lors de DevEXP 2013Retour d'experience lors de DevEXP 2013
Retour d'experience lors de DevEXP 2013
 
Trade doubler 2
Trade doubler 2Trade doubler 2
Trade doubler 2
 
Descripción del puesto de trabajo
Descripción del puesto de trabajoDescripción del puesto de trabajo
Descripción del puesto de trabajo
 
Expo Canitec 2010. Crecimiento económico, sociedad del conocimiento, caso N.L.
Expo Canitec 2010. Crecimiento económico, sociedad del conocimiento, caso N.L.Expo Canitec 2010. Crecimiento económico, sociedad del conocimiento, caso N.L.
Expo Canitec 2010. Crecimiento económico, sociedad del conocimiento, caso N.L.
 
REGGAE
REGGAEREGGAE
REGGAE
 
LA CONSTRUCCIÓN ES UN SECTOR CLAVE EN EL AHORRO Y LA EFICIENCIA ENERGETICA
LA CONSTRUCCIÓN ES UN SECTOR CLAVE EN EL AHORRO Y LA EFICIENCIA ENERGETICALA CONSTRUCCIÓN ES UN SECTOR CLAVE EN EL AHORRO Y LA EFICIENCIA ENERGETICA
LA CONSTRUCCIÓN ES UN SECTOR CLAVE EN EL AHORRO Y LA EFICIENCIA ENERGETICA
 
Serrat la vida
Serrat la vidaSerrat la vida
Serrat la vida
 
Le LED, la lumière leader
Le LED, la lumière leaderLe LED, la lumière leader
Le LED, la lumière leader
 
Présentation medef 17072012
Présentation medef 17072012Présentation medef 17072012
Présentation medef 17072012
 
96 fun手弈博
96 fun手弈博96 fun手弈博
96 fun手弈博
 

Similaire à Présentation botnet u_laval

Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Hackfest Communication
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurColloqueRISQ
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?
QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?
QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?TelecomValley
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquehediajegham
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petyaKiwi Backup
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM France Lab
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesConFoo
 

Similaire à Présentation botnet u_laval (20)

Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeur
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Sécuriser son PC
Sécuriser son PCSécuriser son PC
Sécuriser son PC
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnets
 
Sécuriser et entretenir son PC
Sécuriser et entretenir son PCSécuriser et entretenir son PC
Sécuriser et entretenir son PC
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantel
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Acta
ActaActa
Acta
 
QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?
QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?
QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 
Neutraliser un Virus/Worm ‘RECYCLER’ manuellement
Neutraliser un Virus/Worm ‘RECYCLER’ manuellementNeutraliser un Virus/Worm ‘RECYCLER’ manuellement
Neutraliser un Virus/Worm ‘RECYCLER’ manuellement
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & SécuritéIBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
2011 03-09-cloud sgi
2011 03-09-cloud sgi2011 03-09-cloud sgi
2011 03-09-cloud sgi
 
Le bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuagesLe bon, la brute et le truand dans les nuages
Le bon, la brute et le truand dans les nuages
 
Sécuriser son PC sur internet
Sécuriser son PC sur internet Sécuriser son PC sur internet
Sécuriser son PC sur internet
 

Plus de michelcusin

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatalemichelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackersmichelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

Plus de michelcusin (15)

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Présentation botnet u_laval

  • 1. Botnets: Les Botnets:_ La menace fantôme Michel Cusin Présentation – Université Laval 26 Novembre 2009 © Bell Canada, 2009. Tous droits réservés
  • 2. Question de perception… Selon vous, Quel incident de sécurité est le plus grave entre: • Un vol d’ordinateur et être infecté par un bot ? • Un vol de données et un vol de données ? • Savoir ou ne pas savoir que nous nous sommes faits voler ou modifier des données ? © Bell Canada, 2009. Tous droits réservés
  • 3. Qu’est-ce qu’un botnet ? Relais Japon Relais Suisse Serveurs IRC (Internet Relay Chat) Relais Chine Client IRC Cuba © Bell Canada, 2009. Tous droits réservés
  • 4. Méthodes de propagation © Bell Canada, 2009. Tous droits réservés
  • 5. La clé USB © Bell Canada, 2009. Tous droits réservés
  • 6. X OK Réseau de Corporatif © Bell Canada, 2009. Tous droits réservés
  • 7. Réseau de Corporatif © Bell Canada, 2009. Tous droits réservés
  • 8. Réseau de Corporatif © Bell Canada, 2009. Tous droits réservés
  • 9. Réseau de Corporatif © Bell Canada, 2009. Tous droits réservés
  • 10. Réseau de Corporatif © Bell Canada, 2009. Tous droits réservés
  • 11. Réseau de Corporatif © Bell Canada, 2009. Tous droits réservés
  • 12. Botnet IRC Cas vécu © Bell Canada, 2009. Tous droits réservés
  • 13. Peer to peer botnet © Bell Canada, 2009. Tous droits réservés
  • 14. Fast flux botnet •Technique connue pour dissimuler des sites de phishing, de malware et utilisée par les botnets. •Cette technique utilise les caractéristiques techniques du protocole DNS permettant d'attribuer à un même nom de domaine de nombreuses adresses IP. • Il est possible, afin de répartir les charges entre plusieurs serveurs, d'attribuer plusieurs adresse IP à un seul nom de domaine. Cette technique, Round Robin DNS, est associé avec un TTL très bas et ce afin que les serveurs changent l'adresse attribuée très régulièrement. © Bell Canada, 2009. Tous droits réservés
  • 15. Fast flux botnet © Bell Canada, 2009. Tous droits réservés
  • 16. Botnet contrôlé via Twitter / Google Groups © Bell Canada, 2009. Tous droits réservés
  • 17. TOR: The Onion Router © Bell Canada, 2009. Tous droits réservés
  • 18. Shadowserver Foundation © Bell Canada, 2009. Tous droits réservés
  • 19. Shadowserver Foundation © Bell Canada, 2009. Tous droits réservés
  • 20. Les 10 botnets les plus recherché aux USA • 1) Zeus (3.6M) -> Spécialité: Trojan, key logger, •Vol des données sensibles (noms d'utilisateur, mots de passe, numéros de compte et numéros de carte de crédit.) • Il injecte de faux formulaires HTML (banque en ligne) pour voler les données utilisateur. • 2) Koobface (2.9M) -> Spécialité: Réseaux sociaux, (Ing. Soc.) •Serveur Web, fausses annonces, installe un Antivirus malicieux, •Déjoue les CAPTCHA, vole des données, •Hijack les sessions Web, Change les Domain Name System (DNS) Source: http://www.networkworld.com/news/2009/072209-botnets.html © Bell Canada, 2009. Tous droits réservés
  • 21. Les 10 botnets les plus recherché aux USA • 3) TidServ (1.5m): -> Spécialité: Trojan, Spam, •Utilise des techniques de rootkit pour courir à l'intérieur des services communs de Windows (parfois fourni avec un faux logiciel antivirus), peut cacher la plupart de ses fichiers et ses entrées de registre. • 4) Trojan.Fakeavalert (1.4M) -> Spécialité: Spam, Malware •Autrefois utilisé pour du spam, ce botnet télécharge maintenant d'autres programmes malveillants, comme les fausses alertes et les faux logiciels antivirus. • 5) TR/Dldr.Agent.JKH (1.2m): -> Spécialité: Clickbot •Le clickbot sert à générer des revenus (publicité) pour le botmaster. Source: http://www.networkworld.com/news/2009/072209-botnets.html © Bell Canada, 2009. Tous droits réservés
  • 22. Les 10 botnets les plus recherché aux USA • 6) Monkif (520K) -> Spécialité: Adware • Se concentre actuellement sur le téléchargementd’un adware sur les systèmes. • 7) Hamweq (480K) -> Spécialité: Réplication, Backdoor •Se réplique sur les système ainsi que tous les médias amovibles qu’il trouve. Il s’exécute automatiquement lors de l’accès à un de ceux-ci. •Il crée des entrées de registre pour permettre son exécution automatique à chaque démarrage et s'injecte dans Explorer.exe. •Le botmaster peut l’utiliser pour exécuter des commandes et recevoir des informations du système compromis. Source: http://www.networkworld.com/news/2009/072209-botnets.html © Bell Canada, 2009. Tous droits réservés
  • 23. Les 10 botnets les plus recherché aux USA • 8) Swizzor (370K) -> Spécialité: Trojan, Adware •Télécharge et lance des fichiers à partir d'Internet sur la machine de la victime à l'insu de l'utilisateur. •Installe des adware et autres chevaux de Troie. • 9) Gammima (230K) -> Spécialité: Trojan, Rootkit •Se concentre sur le vol de mots de passe et informations de compte de jeux en ligne. •Utilise des techniques de rootkit pour se charger dans l'espace d'adressage d'autres processus communs, tels que Explorer.exe •Se répand à travers les médias amovibles comme les clés USB. •Il est aussi connu pour être le ver qui monta dans la Station spatiale internationale à l'été 2008. Source: http://www.networkworld.com/news/2009/072209-botnets.html © Bell Canada, 2009. Tous droits réservés
  • 24. Les 10 botnets les plus recherché aux USA • 10) Confiker (210K) -> Spécialité: Propagation •Également appelé Downadup, •S'est propagé de manière significative à travers le monde, mais pas tant aux Etats-Unis •Il s'agit d'un téléchargeur complexe qui est utilisée pour propager autres logiciels malveillants. •Ne semble actuellement pas avoir de but réel autre que de répandre. •Observateurs de l'industrie craignent un effet plus dangereux vont émerger. Source: http://www.networkworld.com/news/2009/072209-botnets.html © Bell Canada, 2009. Tous droits réservés
  • 25. Évolution des buts et motivations • Déni de service (DoS et DDoS); • Phishing, Spamming, Clickbot; • Faire diversion; • Vol / modification d’information, espionnage; • Location de botnets. Louez-un botnet dès maintenant ! •24 heures d’attaque - 70$ •12 heures d’attaque - 50$ •1 heure d’attaque - 25$ • Crime organisé (Risque faible profit élevé); • Objectifs militaires …? © Bell Canada, 2009. Tous droits réservés
  • 26. Questions ? © Bell Canada, 2009. Tous droits réservés
  • 27. © Bell Canada, 2008. Tous droits réservés