Since the 24 July, our HoneyNet has reveal increasing SSH brute force attempts. These scans are similar to the previous increasing SSH brute force attemps alert. The source IP addresses are only focusing on the root user.
You can follow the SSH Brute Force Attempts in our Use Case SUC015 with real time life data’s.
Kortech.cn is a Chinese website, located in Shangai China.
Since the start of our HoneyNet in Feb. 2009 we have directly observe that one “Tier RFI” where located on Kortech.cn and participate actively to a bonnet propagation.
Kortech.cn server, how is hosting the major botnet script, has the IP 218.5.74.92. Since Feb. 2009 to end Jun 2010, FileAve.com botnet is composed of 39 different malware hosters, has generate 8 134 events and 353 attackers have call the botnet files located on the hosters servers.
China, Germany, Colombia and South Korea are the countries how are the most participating to the botnet activity in term of events. China, South Korea, Germany and US are the countries how are hosting part of the botnet since more than 100 days.
March 2010 was the more active month in term of events, April 2009 the month with the most distinct attackers and March 2010 the month with the most detected hosters. Since December 2009 we can see that the activity of the botnet is increasing.
Interesting point the FileAve.com Botnet and the Kortech.cn Botnet are linked together between some few hosters. Just check the available Afterglow visualization of the interaction between the two botnets.
I have generate some stats and graphs, with all the associated raw datas how are available here.
Le 10 Juin dernier, Tavis Ormandy, chercheur membre de l’équipe de sécurité de Google, avait publié une vulnérabilité nommée “Microsoft Windows Help Centre” qui avait fait beaucoup de bruit sur Internet et au sein de la communauté de la sécurité informatique. Le débat sur le “divulgation responsable des vulnérabilités” contre la “divulgation totale des vulnérabilités” refaisait surface.
Il faut dire que Taviso avait soumis la vulnérabilité à Microsoft 4 jours avant de publier celle-ci sur Internet, laissant ainsi très peu de temps à Microsoft pour réagir et fournir aux utilisateurs finaux une méthode de protection contre cette vulnérabilité. Dans son bulletin, Taviso précisait que la recherche effectuée sur cette vulnérabilité avait été faîte sur son temps personnel et qu’en aucun cas Google ne pouvait être associé à cette divulgation. L’on pouvait tous de même retrouver à la fin de ce bulletin des remerciements à destination d’autres membres de l’équipe de sécurité de Google.
Dans ce même bulletin, Taviso encourageait les internautes à prendre contact avec Microsoft afin de faire pression pour avoir des délais de réaction plus court aux bulletins émis par les chercheurs en sécurité informatique. La position de Taviso est claire, les fournisseurs de logiciels, tels que Microsoft, ne doivent pas tarder, après notification d’une vulnérabilité, à réagir pour mettre à disposition des mises à jour de sécurité. Si un chercheur en sécurité informatique a pu trouver cette vulnérabilité, une personne mal intentionnée pourrait l’avoir aussi découverte. La sécurité des entreprises et des internautes est en question.
Quand à Microsoft, sa position était tous aussi claire, qui de mieux que le fournisseur peut trouver la cause primaire de la vulnérabilité et ainsi fournir la meilleure correction à celle-ci. Taviso aurait fourni, suivant Microsoft, une analyse incomplète de la vulnérabilité, ainsi qu’une solution de mitigation trop facilement contournable. Microsoft ne revient pas sur le fait que les chercheurs en sécurité informatique sont indispensables, mais préconise, tous comme Google, une divulgation responsable des vulnérabilités. De dévoiler, sans correctif disponible, une vulnérabilité peut mettre la sécurité des entreprises et des internautes en péril.
Le dilemme est là, la sécurité par l’obscurité ainsi que la sécurité par la divulgation, quel soit responsable ou non, peut mettre en péril la sécurité des entreprises et des internautes.
Il y a tous de même un fait à ne pas oublier, quelques mois auparavant Google avait été la cible d’une attaque ciblée et persistante (Opération Aurora). Cette attaque avait exploité un 0day dans Internet Explorer 6, et permis à des personnes mal intentionnées de dérober des données sensibles de Google. De plus, ne pas oublier que Google et Microsoft sont concurrents sur bien des secteurs, navigateurs internet, OS, SaaS, etc.
Ce Mardi 20 Juillet, la polémique sur la divulgation des vulnérabilités a franchit une nouvelle étape. Dans un billet signé de façon commune par Tavis Ormandy et d’autres membres de l’équipe de sécurité de Google, propose de réduire les délais d’attente à 60 jours entre le moment où le fournisseur est mis au courant d’une vulnérabilité critique, et le moment où la même vulnérabilité critique serait rendue publique. Google invite les autres chercheurs en sécurité informatique à suivre la même police de divulgation afin de mettre “la pression” sur les fournisseurs de logiciels vulnérables.
En contre attaque, ce Jeudi 22 Juillet, Microsoft a annoncé un changement de son approche au niveau de la divulgation des vulnérabilités. Jusqu’à maintenant Microsoft était aussi un adepte de la méthode “Responsible Disclosure”, mais depuis cette annonce la nouvelle méthode qui sera appliquée se nommera “Coordinated Vulnerability Disclosure “. Uniquement une question de sémantique ?
Afin de “mettre un terme” au débat sans fin (que Microsoft alimente par cette annonce), Microsoft insiste sur le fait que coordination et collaboration sont requises pour résoudre les problèmes afin de réduire les risques pour les internautes. Microsoft insiste sur le fait que la divulgation d’une vulnérabilité est une responsabilité qui doit être partagée entre les différents acteurs de la découverte (Chercheur), de la centralisation (CERT, Secunia), du traitement et de la résolution de celle-ci (Fournisseur). Cette responsabilité partagée se base sur une collaboration plus forte entre le fournisseur et le chercheur.
En tous cas, la guerre de la communication et le débat sur la divulgation des vulnérabilités ne risque pas de s’arrêter. La guerre commerciale entre Google et Microsoft ne fait que commencer.
Nous vous avions fait part ce week-end de la découverte d’une bien étrange affaire d’espionnage numérique ciblant les grandes industries nationales, principalement nucléaire. Cet espionnage numérique utilise une vulnérabilité non connue (0Day) de Windows qui s’avère toujours aujourd’hui être très dangereuse, nommée “Windows Shell LNK”. L’exploitation de cette vulnérabilité est très simple, car il suffit de naviguer sur un site Internet, ou que vous ouvriez un document (Word, par exemple) contenant des raccourcis, pour qu’un internaute malveillant prenne la main sur votre ordinateur, et cela en toute transparence sans que vous ne remarquiez quelque chose.
D’ailleurs, la vulnérabilité est considérée comme tellement dangereuse que l’institut SANS ISC a monté, Lundi, son niveau d’alerte (fait rarissime), pour finalement le redescendre à un niveau vert ce Mercredi.
Plusieurs PoC (Proof of Concept) sont actuellement disponibles sur Internet, mais aussi intégrés dans des outils d’audits de sécurité informatique, tel que Metasploit de Rapid 7. Voir la petite vidéo vous faisant une démonstration de la simplicité d’exploitation de cette vulnérabilité par le biais de Metasploit.
Microsoft a bien sûr fourni plusieurs solutions de contournements de cette vulnérabilité, mais celle-ci demeurait trop complexe à mettre en oeuvre pour de simples utilisateurs. C’est pour cela, que poussé par la pression des professionnels de la sécurité informatique, Microsoft a mis à disposition une solution “Fix it 50486” qui permet en un seul clic de ne plus se rendre vulnérable à celle-ci. Par contre, attendez-vous à avoir des surprises lors de l’application de ce “Fix it” car vous allez vous retrouver avec des raccourcis sans icônes… Bien sûr, vous pouvez faire marche arrière par le biais d’un autre “Fix it” cette fois-ci le “50486”.
Toujours suite à cette affaire d’espionnage numérique, nous vous remontions, aussi dimanche, que le malware distribué par le biais de l’exploit “Windows Shell LNK” tentait d’installer deux drivers signés numériquement par “Realtek Semiconductor Corp.“, une société connus dans le monde de l’informatique. Le fait que deux drivers contenu dans un malware, participant à une infection, soient signés par Realtek signifiait éventuellement que la clé privée de RealTek aurait été compromise, et que celle-ci aurait éventuellement servie pour signer d’autres logiciels malveillants. Par mesure de précaution, Microsoft et Verisign, en collaboration avec Realtek ont décidé de révoquer le certificat mis en cause. Sage décision…
Sage décision, quand on apprend un jour après qu’une autre société “JMicron Technology Corp”, un constructeur de matériel informatique, aurait lui aussi été la victime d’un vol de clé privé permettant aussi de signer les drivers d’installation Windows ! Comme par hasard ces deux sociétés se retrouvent toutes les deux à Taïwan et dans le même quartier (Hsinchu Science-based Industrial Park), la Silicon Valley de Taïwan. Bien sûr, le certificat de la société JMicron à lui aussi été révoqué en collaboration avec Microsoft et Verisign.
Pour l’instant les informations récupérées par le malware ne sont pas encore connus, ni même les auteurs de celui-ci. Dès que nous aurons plus d’informations nous vous tiendrons au courant.