[Alerte] l'Algérie atteinte par le botnet Gayfemboy utilisant les failles 0 Day des routeurs.

[laliche]

Ce document est réservé aux membres connectés.

Révélation

Ceci est un contenu masqué, merci de

• Se connecter
• ou
• S’inscrire

 

Modifié le 9 janvier par laliche

[laliche]

Comment un ordinateur est-il infecté par une attaque botnet ?

‍Afin d'infecter un ordinateur pour l'enrôler dans un botnet, les hackers utilisent différentes stratégies. Bien souvent, les emails de phishing ou hameçonnage représentent un composant clé.

Le cybercriminel peut envoyer un email légitime en apparence, dont l'expéditeur semble être une marque ou une institution connue ou même un proche de la cible. Le message peut contenir une pièce jointe, ou même un lien vers un site web.

En réalité, dès que l'utilisateur ouvre la pièce jointe ou clique sur le lien, le téléchargement du malware s'enclenche. La machine est contaminée, et le hacker est en mesure de l'enrôler dans son réseau botnet. La victime ne s'en rend pas forcément compte

Comment les botnets sont-ils contrôlés ?

‍Il existe deux façons permettant au hacker de contrôler un botnet : un modèle centralisé avec communication directe entre le bot herder et chaque ordinateur, ou un modèle décentralisé avec de multiples liens entre tous les appareils du réseau.

La première génération de botnets reposait sur une architecture client-serveur, au sein de laquelle un serveur C&C (commande et contrôle) gère le botnet entier. Ce modèle est très simple, mais constitue un point individuel de défaillance.

Les principaux canaux de communication C&C sont IRC et HTTP. Les botnets IRC sont l'un des types les plus anciens, et sont contrôlés à distance avec un canal et un serveur IRC pré-configuré. Les robots se connectent au serveur et attendent les ordres du bot herder.

De son côté, un botnet HTTP est basé sur le web. Le bot herder utilise le protocole HTTP pour envoyer des commandes, ce qui lui permet de déguiser ses activités en trafic web ordinaire. Les robots visitent le serveur de temps à autre pour recevoir des mises à jour et de nouvelles commandes.

Dans le cas d'un modèle décentralisé de pair-à-pair, les robots partagent les commandes et les informations entre eux et ne sont pas en contact direct avec le serveur C&C. Les botnets P2P sont plus difficiles à implémenter que les botnets IRC ou HTTP, mais sont aussi plus résilients puisqu'ils ne reposent pas sur un unique serveur centralisé.

À la place, chaque robot fonctionne indépendamment et à la fois comme client et serveur. Chacun partage et met à jour les informations de façon coordonnée entre les appareils du réseau.

Comment savoir si un ordinateur est enrôlé dans un botnet ?

‍Plusieurs symptômes peuvent suggérer une infection botnet. Toutefois, ils peuvent aussi résulter d'un autre type de malware, d'un problème matériel ou d'un bug logiciel.

Un ordinateur est potentiellement enrôlé par un botnet s'il présente une activité excessive sans explication au niveau de son processeur, de son disque dur ou même de ses ventilateurs.

De même, les botnets consomment beaucoup de mémoire. Vous pouvez vérifier l'usage de la RAM pour détecter une éventuelle anomalie.

Un logiciel malveillant peut aussi ralentir l'extinction ou le redémarrage de l'ordinateur. Les programmes et applications peuvent également sembler défaillants.

De même, si internet semble plus lent que d'habitude et que le routeur fonctionne à plein régime, alors que vous ne téléchargez aucun fichier, la cause peut être une infection botnet.

Si vos contacts se plaignent de recevoir des spams ou des emails malveillants de votre part, votre machine est probablement enrôlée par un botnet.

Comment se protéger contre les botnets ?

‍La plupart des victimes d'un botnet n'ont même pas conscience que leurs ordinateurs sont compromis par des hackers. C'est ce qui rend cette cybermenace particulièrement sournoise.

Heureusement, il existe des précautions très simples permettant d'empêcher les criminels d'enrôler vos appareils dans un réseau de robots.

Veillez à installer un logiciel antivirus capable de détecter les malwares, de les supprimer de votre machine et d'empêcher les futures attaques. En outre, installez toujours les mises à jour du système d'exploitation de l'ordinateur. De préférence, configurez vos appareils pour installer les mises à jour automatiquement.

Les hackers exploitent souvent des failles connues pour installer les botnets. Dès qu'une vulnérabilité est découverte et annoncée par les éditeurs de logiciels, les criminels se précipitent pour créer des programmes afin de les exploiter.

L'authentification à double facteur permet d'empêcher les malwares de botnet d'accéder aux comptes et appareils si un mot de passe est compromis. Un système de détection d'intrusion peut également être déployé sur le réseau.

Par ailleurs, ne téléchargez jamais de pièces jointes et ne cliquez jamais sur les liens dans les emails d'expéditeurs inconnus. C'est l'une des façons les plus courantes d'envoyer des malwares.

Lorsque vous naviguez sur internet, utilisez un firewall et ne visitez pas de sites web connus pour distribuer des malwares. De manière générale, gardez en tête que les hackers s'en prennent aux proies les plus faibles. En renforçant vos défenses, vous les dissuaderez de s'en prendre à vous.

La meilleure façon de protéger votre entreprise contre les botnets est d'apprendre aux employés à identifier les tentatives de phishing et les cyberattaques, par le biais d'une formation de cybersécurité.

Source: cyberuniversity.com

‍Mes recommandations:

Comme la plupart des routeurs utilisés en Algérie ne sont pas mis à jour je recommande au lieu d'utiliser les DNS par défaut d'AT ou ceux de Google (8.8.8.8 et 8.8.4.4) et même de Cloudflare (1.1.1.1 et 1.0.0.1) il vaut mieux installer un serveur DNS filtrant même gratuit avec inscription comme OpenDNS ou NextDNS qui vont bloquer en amont  l'infection avant qu'elle n'arrive au routeur ,ceci même on s'estime protégé par le meilleur Antivirus.

Il faut aussi modifier les identifiants d'accès au routeur et  :

-Désactiver le protocol TR-069

-Cocher toutes les cases du firewall du modem

-Désactiver le mode Upnp.

 

 

Modifié le 9 janvier par laliche