édito

Bienvenue sur ce blog, point de chute des différentes informations ayant trait à la sécurité ou à la filière STI de l'ensib et remontées aux ensibiens par un désormais ingénieur sécurité junior (et oui, c'est la 3A).
Si d'autres ensibiens dans le cadre d'une veille liée à leur job [ou pas...] veulent remonter des infos qu'ils jugent susceptibles d'intéresser notre filière, n'hésitez pas à me contacter pour contribuer :)

- PiWi -    


vendredi 17 juillet 2009

my conficker is fabulous \o/

vous avez recu un gentil petit mail vous expliquant que conficker avait été détecté sur un des postes de l'école, mais conficker, kesako??

une saloperie absolue diront certains, moi je dirai que ce ver est un petit bijou conceptuel et technique :) genre le ver 2.0 (c'est marketing). En effet, ce ver utilise de nombreuses méthodes de propagation:
  • la vulnérabilité ms08_067, pour les PC pas à jour.
  • les partages windows directement accessibles.
  • l'éxecution automatique des supports amovibles.
  • et le must, le bruteforce des mots de passe Active Directory (c'est là que les sociétés avec des admins peu rigoureux comprennent leur douleur: un conficker admin de domaine je vous laisse imaginer ^^)
ce sont les principaux vecteurs d'infections, mais ce n'est pas ce qui fait l'excellence de ce petit conficker, c'est son aptitude à se mettre à jour, réinstaller,etc.... un conficker ayant infesté une machine va immédiatement supprimer les points de restauration, modifier,désactiver voire désinstaller l'antivirus/firewall/update(bref tout ce qui peux le gener) et tenter de contacter un maximum d'autre machines sur le réseau où il se trouve pour essayer de se propager. maintenant, il faut savoir que chaque conficker essaie de se connecter quotidiennement pour se mettre à jour et retélécharger le nouveau binaire.

Le point de rendez-vous suivant est calculé massivement par tous les confickers connectés (cloud computing powaaa) et de plus, chacun embarque son système de validation pour s'assurer que le binaire qu'il récupère est bien signé par l'auteur de conficker. Il est ainsi très difficile de pouvoir "tromper" un conficker et bien que des groupes aient réussi à identifier l'algorithme de génération des noms de domaines (pt de rdv), il n'est pas possible de faire uploader d'autre binaires par les machines infestées.

bref ce ver a su protéger son integrité, exploiter bon nombre des vecteurs de communications actuels et est de ce fait, une horreur absolue à virer dans une entreprise (entre la compromission de l'AD les partages etc...)

un article très intéressant mais technique sur conficker pour ceux que ca intéresse (ca vaut le coup): http://mtc.sri.com/Conficker/
N.B: si vous n'êtes pas techniques, juste l'intro vous donnera des chiffres et une idée des ravages..

pour tous les gouts: l'article aborde conficker A et B il faut savoir que des versions jusqu'à E on été découvertes. et oui, l'auteur doit aimer à peaufiner toujours plus son "jouet"
Publié par
Libellés :

1 commentaire:

Inscription à : Publier les commentaires (Atom)