Opération Windigo : infection de serveurs Linux à grande échelle

Magazine
Marque
MISC
Numéro
74
Mois de parution
juillet 2014
Domaines


Résumé

Cet article décrit une opération dans laquelle des milliers de serveurs Linux ont été compromis par le vol d’informations d’authentification SSH. Les opérateurs utilisent cette infrastructure depuis au moins 2011 pour infecter des visiteurs de sites Internet, les rediriger vers des publicités ou encore envoyer des pourriels. Nous commencerons par décrire l’opération de façon globale pour ensuite nous focaliser sur le composant qui réalise le vol d’information SSH sur les serveurs, puis sur celui qui redirige les visiteurs de sites web.


1. Une opération de grande ampleur

Pour aborder l’opération Windigo, partons de la représentation (simplifiée) de son infrastructure de la Figure 1.

windigo_operation

Fig. 1 : Infrastructure de l’opération Windigo.

Suivons le chemin d’un utilisateur victime d'une redirection : depuis sa machine, il visite un site Internet légitime infecté par Linux/Cdorked, qui injecte alors dans la page web une redirection vers un autre nom de domaine, légitime lui aussi. Le navigateur Internet de la victime fait donc une requête au serveur DNS autoritaire pour ce nom de domaine, mais celui-ci est infecté par un autre composant, Linux/Ominiki, et l’adresse IP retournée est contrôlée par ce logiciel malveillant. La victime se retrouve donc finalement redirigée vers un nouveau serveur, qui n’est qu’un relais pour un autre serveur qui va tenter de l’infecter en exploitant une vulnérabilité. Elle se verra alors distribuer un logiciel malveillant Windows, soit Win32/Boaxxe,...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.