Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Petit Trojan entre amis : Bredo-BG

Petit Trojan entre amis : Bredo-BG
2010-04-082013-02-11sécurité organisationnelle et humainefr
Petite analyse rapide d'une nouvelle attaque en phishing. Une attaque d'un niveau technique plutôt bas mais néanmoins intéressante. Comment un antivirus et un fitrage d'URLs peuvent être...
Publié le 8 Avril 2010 par Jean-François Audenard dans sécurité organisationnelle et humaine
Autre attaque visant les clients Orange Business Services : A contrario de l'attaque visant les utilisateurs de cartes Internet 3G Orange, la ficelle est assez grosse et le montage technique est assez simple car les mécanismes de protection en place ont été relativement efficaces.

Tout commence par un spam

Au démarrage, on retrouve un spam dans sa boite au lettres. Celui-ci est très simpliste et peu engageant : Du texte "brut" sans fioritures ni images, tout en anglais (avec même des fautes!) et pas d'URL pointant vers le cheval de Troie mais le fichier a été directement mis en pièce jointe.

Une fois n'étant pas coutume, l'antivirus de messagerie a été en mesure de détecter qu'il s'agissait d'un fichier infecté. Il l'a donc automatiquement remplacé par un fichier texte contenant quelques informations sur le cheval de Troie bloqué.

Caractéristiques du cheval de Troie

Une rapide analyse nous donne comme infos :
- Le cheval de Troie (Bredo-BG) communique avec l'extérieur via HTTP.
- L'adresse IP vers laquelle il se connecte est connue : Un serveur dédié aux Pays-Bas.
- Cette adresse IP est présente dans des listes noires

Protections multiples

La mode (dans le monde de la sécurité) étant à la ceinture et aux bretelles ; en sus du premier rempart de protection qu'est l'antivirus de messagerie ; il conviendra de mettre en place un système de filtrage d'URL au niveau de votre accès Internet : Celui devrait être notamment configuré pour bloquer toutes les connexions à destination d'adresses IP de "mauvaise réputation".

Avec un tel mécanisme, si l'antivirus ne détecte rien, ce cheval de Troie ne pourra pas se connecter vers son centre de commande, ceci empêchant tout contrôle à distance ou envoi d'informations sensibles vers l'extérieur.

Une attaque assez simple
En tout cas, on pourra conclure que celle attaque est plutôt binaire : Le nombre de "victimes" devrait tendre vers zéro... C'est plutôt une bonne chose.

Remerciements
Un "Merci" à François T. pour ces mails de phishing en provenance directe des plateformes de messagerie d'Orange Business Services.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage