OĂą vivent les malwares: infrastructure de hackers et services criminels

Toutes les entreprises en ligne ont besoin d'une infrastructure stable et fiable. Les campagnes publicitaires les plus avancées, les stratégies de mise sur le marché et de fidélisation de la clientèle perdent leur sens si le site Web du magasin est systématiquement indisponible et que les paiements ne sont acceptés qu'une seule fois. Tout cela est également vrai pour le secteur des cybercriminels. Dans cet article, nous vous expliquerons comment fonctionne l'infrastructure des hackers et comment assurer le bon fonctionnement des services criminels.



image



Chaque cybergroupe a son propre ensemble d'exigences spécifiques en matière d'infrastructure réseau. Quelqu'un a besoin de serveurs temporaires pour les mots de passe de force brute, l'analyse réseau ou les e-mails de phishing, d'autres ont besoin d'un hébergement à l'épreuve des balles caché derrière une chaîne de proxys inverses. Cependant, toute la diversité se résume à plusieurs scénarios typiques:



  • hĂ©bergement de sites au contenu illĂ©gal ou douteux,
  • hĂ©bergement d'infrastructure de gestion,
  • hĂ©bergement des applications et des composants du service,
  • hĂ©berger des anonymiseurs, des proxys directs et inverses,
  • des serveurs dĂ©diĂ©s au scan et aux attaques par force brute,
  • plates-formes de phishing et de spam.


Ainsi, l'infrastructure du réseau criminel comprend généralement les zones suivantes:



  • services d'hĂ©bergement spĂ©ciaux,
  • hĂ©bergement basĂ© sur des serveurs compromis,
  • services de confidentialitĂ© et d'anonymat,
  • Services DNS.


Examinons de plus près ces composants et commençons par des services d'hébergement dédiés.



HĂ©bergement Ă  l'Ă©preuve des balles



Toute activité illégale conduit tôt ou tard au fait que les ressources qui y sont associées deviennent l’objet de l’attention des forces de l’ordre. Et puis les adresses IP de ces ressources sont bloquées, les serveurs sont saisis et les domaines sont partitionnés. Cette situation conduit à la perturbation des cyberattaques et à la nécessité de dépenser pour organiser de nouvelles infrastructures. Pour éviter une telle situation, les structures illégales ont recours à des services insensibles aux demandes de la police.



Par exemple, la législation du Belize et des Seychelles permet aux entreprises fournissant de tels services d'hébergement d'ignorer toutes les demandes des services répressifs concernant les ressources hébergées dans leurs installations. En conséquence, de nombreux sites d'hébergement à toute épreuve y sont hébergés.



Un autre exemple est le placement d'un hébergement criminel dans une maison privée. C'était un centre de données tellement illégal, qui comptait plus de 100 serveurs, que la police ukrainienne a récemment découvert et éliminé.





Services Ă  flux rapide



Fast-flux est une technologie entièrement légale qui est utilisée pour fournir une disponibilité de service et un équilibrage de charge accrus en commutant constamment la résolution de nom de domaine vers un pool d'adresses IP. Cette approche permet aux criminels d'obtenir une résistance accrue au piratage et aux interceptions, leur permettant de cacher l'emplacement de leur serveur. Un pool d'adresses IP est souvent utilisé pour enchaîner les proxys inverses et peut être fourni par plusieurs ressources: VPS cloud loué, hôtes botnet ou machines compromises.



image

Fonctionnement du flux rapide en tant que service de couche intermédiaire. Source (ci-après, sauf indication contraire): Trend Micro



L'essence de la méthode à flux rapide est d'utiliser un TTL court (time-to-live) pour les enregistrements DNS A. Cela empêche les serveurs DNS intermédiaires de mettre en cache le nom de domaine et les force à toujours demander l'autorisation des serveurs DNS (Domain Name System) publiés. Des valeurs TTL faibles permettent aux attaquants de diriger le domaine vers des adresses IP dans un pool dédié à haute fréquence et garantissent la disponibilité du service même si certaines des adresses sont compromises ou interdites par le FAI.



image

Enregistrements DNS spécifiques à flux rapide



Les valeurs TTL affichées en rouge sont définies avec des tentatives inhabituellement faibles et des temps TTL minimum (en secondes). Dans des circonstances normales, cela mettrait une charge supplémentaire sur le serveur DNS, mais dans le cas d'un flux rapide, le but est de supprimer le mécanisme de mise en cache afin que le client se voit présenter une adresse IP valide, qui est actuellement fournie par l'infrastructure "fast-flux".



Les services à flux rapide ont tendance à être plus chers que l'hébergement à toute épreuve car leur opérateur doit maintenir un pool d'adresses IP pour fournir une infrastructure à «flux rapide», ce qui nécessite des coûts supplémentaires.



image

Les services à flux rapide coûtent 100 USD pour deux domaines par mois, tandis que le loyer mensuel d'un serveur à l'épreuve des balles est de 10 USD.



Protection DDoS



Les groupes cybercriminels se font concurrence pas moins que les organisations juridiques et, comme moyen de concurrence, ils organisent des attaques par déni de service aux ressources des concurrents en utilisant les méthodes Layer4 et Layer7. C'est pourquoi de nombreux services à toute épreuve proposent un hébergement de protection DDoS ou un service de protection DDoS que vous pouvez utiliser pour votre ressource.



En règle générale, ces services sont fournis en plaçant une ressource spécialisée devant le serveur protégé, comme un WAF (Web Application Firewall).



VDS provenant d'hĂ´tes compromis



Les serveurs compromis sont souvent utilisés pour l'hébergement pendant une ou plusieurs étapes de leur cycle de vie de monétisation criminelle.



Pour capturer le contrôle sont utilisés:



  • vulnĂ©rabilitĂ©s des logiciels serveur,
  • attaques de force brute,
  • clĂ©s API volĂ©es,
  • voler des comptes via des serveurs connectĂ©s,
  • phishing et campagnes frauduleuses.


L'estimation du mot de passe est généralement utilisée dans les attaques contre les services SSH, VNC et RDP.

Les informations d'identification pour accéder aux serveurs piratés sont ensuite vendues dans des magasins en ligne clandestins:



image

Magasin de comptes en ligne pour accéder aux serveurs RDP compromis



.



image

Annonce de la vente d'une vulnérabilité dans OpenSMTPD qui vous permet de compromettre les serveurs exécutant FreeBSD, NetBSD, Debian, Fedora et Alpine Linux et de les utiliser pour l'hébergement



Compromettre l'hébergement cloud



Du point de vue de l'attaquant, Google Cloud et Microsoft Azure sont des ressources extrêmement accessibles, car les deux permettent aux utilisateurs disposant d'une carte bancaire connectée à leur compte d'essayer les services gratuitement. Cela a conduit les cybercriminels à collecter activement des données à partir de comptes Google avec des cartes bancaires connectées, puis à les utiliser pour lancer des instances de serveurs dédiés. Pour les pirates novices, des didacticiels détaillés sont publiés:



image

Un guide pour ouvrir l'hébergement Google Cloud à partir d'un compte Google compromis



Pour ceux qui ne veulent pas se soucier de pirater leurs comptes, il existe des magasins proposant des comptes Microsoft Azure et Google Cloud déjà piratés.



image



Chaussettes, proxy et tunnels SSH



SOCKS et les services proxy permettent aux attaquants de se cacher sans attirer trop d'attention ni déclencher la détection via des outils de surveillance de la sécurité du réseau.



Compte tenu de la demande pour cet outil, il est relativement facile de trouver des ressources proposant d'acheter des proxys SOCKS, et vous pouvez payer l'achat avec une crypto-monnaie.



image

Liste de prix des proxys SOCKS pouvant être payés avec Bitcoin et Ethereum





Une autre façon de masquer la communication consiste à effectuer un tunneling dans des protocoles légitimes, par exemple SSH:



image

Liste de prix pour les tunnels SSH



Le coût des tunnels SSH dépend du pays de localisation. L'emplacement est très important pour certaines activités illégales. Par exemple, les systèmes anti-fraude des banques mettent en corrélation les informations sur le titulaire de la carte avec la géolocalisation de l'adresse IP à laquelle une tentative d'utilisation a été faite. Par conséquent, les criminels sont prêts à payer plus pour acheter un tunnel qui correspond non seulement au pays souhaité, mais également à la ville.



Anonymiser le VPN



Un autre service demandé dans l'environnement cybercriminel est le VPN anonyme, et dans cette partie les préférences des groupes sont divisées: certains préfèrent utiliser des VPN commerciaux légaux comme NordVPN ou ProtonVPN, d'autres louent des services similaires sur le marché souterrain, et d'autres créent indépendamment une infrastructure basée sur OpenVPN, WireGuard ou SoftEther ...



L'un des signes qui indiquent indirectement que des hôtes compromis sont utilisés pour fournir des services VPN est l'indication de la «période de garantie de disponibilité» du service. Plus le nombre est bas, plus ces services sont suspects. Il est peu probable qu'un fournisseur de VPN légitime écrive dans les termes que "Si les informations d'identification fournies ne fonctionnent pas dans les prochaines 24 (48 ou 72) heures, les nouvelles informations d'identification seront fournies gratuitement." Mais c'est exactement ce qui est généralement présent dans les offres de services illégaux.



image

Annonce de vente VPN en direct



Un autre signe suspect d'une possible nature criminelle de l'anonymisation des services est la durée du contrat. Les fournisseurs de VPN légaux fournissent des services pendant au moins un mois, tandis que dans l'environnement criminel, il existe des services VPN pour une période ne dépassant pas un jour. Il est difficile d'imaginer des cas d'utilisation légale pour lesquels un délai aussi court suffit. Cependant, pour les criminels, cela suffit largement



  • vĂ©rifier la validitĂ© des cartes bancaires compromises,
  • vĂ©rifier la validitĂ© des comptes compromis,
  • enregistrer des comptes sur des plateformes cloud ou plateforme d'hĂ©bergement de contenu,
  • faire un mailing frauduleux sur les rĂ©seaux sociaux,
  • lancer une campagne publicitaire malveillante.


Les offres d'infrastructure de la cyberactivité parallèle ne se limitent pas à des services relativement standard. En étudiant les annonces, vous pouvez trouver des services assez intéressants qui sont toujours demandés par les clients de niche ou qui gagnent en popularité.



Lieux de travail mobiles



Certains fournisseurs proposent des postes de travail mobiles à l'épreuve des balles à ceux qui souhaitent être protégés des étrangers.



image



Bien que la politique de ce site interdise formellement la propagation de logiciels malveillants, nous avons trouvé des publicités sur le forum



image



suggérant que d'autres actions malveillantes sont acceptables: la proposition mentionne l'anonymat complet, l'incapacité de localiser l'utilisateur, la connexion Internet haut débit, la protection DDoS, le mélangeur de trafic sortant. divers VPN. Bien que l'analyse directe des ports, la force brute et la distribution de logiciels malveillants ne soient pas autorisées, un attaquant peut commettre d'autres actions criminelles en utilisant de tels AWP.



Anonymiser les mélangeurs de trafic



Tor n'est pas le seul moyen de se cacher de l'œil vigilant des forces de l'ordre et des concurrents. Les services offrant des espaces de travail robustes ont développé leurs propres mélangeurs de trafic à l'aide d'un réseau de routeurs dispersé géographiquement. Ce trafic se mélange au trafic de VPS anonymes qui se déplacent périodiquement entre des centres de données situés dans différents pays, ce qui rend encore plus difficile la traçabilité de ces systèmes.



Des services personnalisés sont également disponibles pour regrouper les connexions VPN, Tor et des ensembles de routeurs dispersés géographiquement. Ces combinaisons créent une chaîne tellement complexe d'hôtes et de redirecteurs qu'il est presque impossible de tracer.



image

Offre de chaîne d'obfuscation du trafic



Par exemple, l'un des services propose d'utiliser la chaîne suivante:

Hôte → VPN1 → VPN2 → TOR → passerelle pour le trafic de rebond → mélangeur de trafic → routeurs répartis géographiquement pour le trafic de rebond → bureau distant (RDP) pour le travail → connexion via d'autres routeurs répartis géographiquement → serveurs Tor → nœud de sortie → destination.



conclusions



Nos recherches ont montré que l'infrastructure cybercriminelle est nettement plus avancée que ne le supposaient de nombreux chercheurs. Nous pensons que cette composante particulière est l’un des aspects les plus mûrs de l’activité criminelle. Les vers de réseau cèdent la place aux chevaux de Troie, les exploits de navigateur aux attaques de phishing ciblées, et l'extorsion pure et simple remplace le modèle commercial du vol d'informations. Cependant, l'infrastructure sur laquelle reposent toutes ces actions reste en demande et en constante évolution, offrant de nouveaux services techniquement sophistiqués.



Les cybercriminels ont besoin d'un service fiable qui leur permet d'agir en se cachant le plus longtemps possible des forces de l'ordre. Cette demande a engendré toute une industrie de services semi-juridiques au service des cybercriminels, aidant indirectement les criminels. Le problème est que fournir des services d'hébergement fiables et introuvables n'est pas illégal en soi. La résolution de ce problème est une pièce très importante du puzzle pour ceux qui luttent contre la cybercriminalité en tant que problème mondial.



All Articles