vendredi 10 juillet 2020    || Inscription
BanniereNews
 
 

Les cyber-criminels ont changé en 2012. On peut noter une réelle évolution dans les stratégies de vente de malwares ainsi que dans l’utilisation des toolkits et exploit kits.

Les hackers passent plus de temps à sécuriser leurs exploit kits et les serveurs où leurs malwares seront installés. Le but étant de prévenir les fuites du code et de compliquer la tâche des chercheurs en sécurité.

L’emploi du SaaS (logiciel en tant que service) est devenu la norme lors de la vente d’un exploit kit. Il n’est plus fourni directement. Lors d'une vente, les cyberciminels communiquent uniquement les fichiers binaires de l'exploit kit.

C’est la méthode désormais utilisée dans la diffusion de SpyEye, Zeus, Citadel… Même le Blackhole kit est passé à un modèle SaaS pour empêcher toute fuite du code. Le créateur ne donne plus le pack mais l’installe pour l’utilisateur en protégeant les fichiers PHP avec un logiciel du type d’ioncube qui encode les fichiers PHP.

Des serveurs mieux sécurisés

Cette situation est profitable pour les auteurs des exploit kits mais aussi pour les clients puisqu’ils ne paient pas pour un produit qui sera disponible à tous gratuitement et par conséquent moins efficace puisque plus rapidement patché.

Les cyber-criminels ont aussi amélioré la sécurité des outils et des serveurs qu’ils utilisent. Certains attaquants ont cessé d’utiliser des serveurs hackés pour hoster des serveurs de commande et de contrôle, des outils de spam ou des malwares. Ils utilisent désormais leur propre serveur situé dans des data centers répartis partout dans le monde.

Ils passent à travers les radars et notamment ceux des résultats Google en ne déclarant aucun nom d’hôte et en utilisant uniquement les adresses IP. Leurs serveurs sont alors bien mieux protégés contre les chercheurs en sécurité mais aussi les autres criminels.

Plus de détails à lire sur le blog d’un chercheur de Trend Micro.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142996
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI