Hack.lu 2011 - "Milking the Internet: case studies of emerging cybercrime threats"

« Milking the Internet: case studies of emerging cybercrime threats »
par
Fyodor Yarochkin

OMG Fyodor !!! sur la cybercriminalité ( Edit: l’auteur de Xprobe et non Nmap, merci à Gomor pour avoir relevé la coquille)

Les auteurs ont monté des honeypots et des VM avec des navigateurs webs pour se faire infecter, avec des points de sortie un peu partout dans le monde. Ils leur suffit d’ analyser des activités malveillantes à travers le globe. Au menu, nous avons donc des Malwares, du black SEO, des faux anti-virus, de la fraude à la carte de crédit, et de l’injection de masse. Les acteurs eux sont, des kiddies, des hommes d’affaires, et des APT (rofl)

Coté activités sur les honeypots, il y a beaucoup de script kiddies qui téléchargent des mises à jours windows sur une box linux. Coté APT, il y a APT deezer qui permet de se faire une idée des groupes qui mènent des attaques ciblés. Coté Chine, tant que les attaquants ne touchent pas aux IP chinoises, et ne mènent pas d’actions politiques en conflit avec les intérêts chinois, ils peuvent faire ce qu’ils veulent avec les box qu’ils louent en chine.

Maintenant, la tendance, c’est de voler 1$ auprès d’un million de personnes plutôt que de voler 1 million dans une banque, c’est plus discret, et les probabilités de poursuites sont plus faibles. Afin d’obtenir de l’argent en masse, les cybercriminels tapent là ou l’argent se trouve, par exemple les add-ins et malwares livrés avec certains sites pornos (cf Misc). Afin de pousser des clients à passer par leurs services, les cybercriminels payent pour obtenir du traffic vers leurs sites. Ce trafic à une valeur, qui dépend de l’origine géographique du trafic en question. Ainsi, du trafic en provenance d’Australie ou d’Europe a plus de valeur que le trafic en provenance de pays du tiers monde ou de Russie, où les cartes de crédit ne sont pas très courantes ou populaires.

En chine, ils ont pu constater que lorsqu’ils visitaient certains sites, ils se retrouvaient redirigés vers des sites chinois, en lieu et place du site d’origine. Ces redirections peuvent êtres faites par des malwares, mais dans ce cas, le problème ne venait pas des machines, mais bel et bien de l’infrastructure réseau de l’opérateur. En analysant les traces sous Wireshark, on pouvait se rendre compte que lorsqu’une requête était envoyée, deux paquets étaient envoyé en réponse, l’un contenant les infos du site, et l’autre envoyant un HTTP redirect suivi d’un paquet de déconnexion. Il s’agit d’un spoofing TCP probablement en provenance d’un opérateur, car il faut pouvoir prédire la séquence TCP renseigner le bon n° en conséquence dans le paquet forgé. Partant de cette hypothèse, ils ont commencé a tracer l’origine de ces interceptions, et il s’avère que cette interception se faisait depuis un opérateur qui faisait tourner une ferme de proxys invisibles sur un certain nombre de sites (mais pas tout l’internet, pour ne pas casser certaines applications). Ces proxy servent avant tout à l’interception de sites blacklistés, et la compromission de cette ferme permettait de rediriger l’ensemble de la population de Taipeï, générant un trafic web important, et donc de gros gains financiers (puisque ce trafic se monnaye).

Coté détournement de publicités et « Malvertising », les contenus délivrés dépendent de l’IP source de la requête. Ainsi, en visitant le même site, on peut se retrouver soit avec une pub, soit un bon gros exploit des familles. Et le problème des agences de publicités, c’est qu’ils fournissent un petit bout de code HTML à intégrer au sein de l’application, souvent une Iframe, et les attaquants utilisent cette Iframe et la détournent pour en changer le contenu. Tout ceci est revendu en mode pay per click aux créateurs de spywares et cie (http://xylibox.blogspot.com/). Les clicks sont redirigés à l’aide de load ballancers que sont les TDS.

Le travail est énorme, beaucoup de choses à raconter, mais ça remonte jusqu’à des sites spécialisés ou l’on peut choisir tout ce qu’il faut pour obtenir une fausse identités ou une vraie identité dupliquée pour récupérer l’argent issue du trafic de cartes de crédits. Il est même envisageable d’obtenir de vraies cartes bancaires légitimes. Les ramifications sont énormes et remontent jusqu’à des personnes très influentes politiquement en Russie.

Coté diversification, ça va de l’hosting spécialisé pour le cybercrime, au cloud cracking en passant par le pay per install pour diffuser votre propre botnet, sans oublier la résolution de captchas. En chine, les plateformes Android sont très populaires, et donc forcément, un grand nombre de malwares ciblant spécifiquement cette population sont dans la nature.