Les PC zombies marocains et le Botnet Zeus

Ces statistiques ont été relevées à travers des centres de commandes et de contrôles de pc zombies existants sur internet.

En exploitant une de leurs vulnérabilités, nous avons pu accéder à la console d’administration et extraire d’importantes statistiques et plus spécifiquement celles relatives aux réseaux marocains.

Rappel : Réseaux ZOMBIES

Le réseau de zombies ou BOTNET est un réseau d’ordinateurs infectés par un programme malveillant de type Backdoor qui permet au cybercriminel de prendre à distance les commandes des machines infectées (séparément, d’un groupe d’ordinateurs du réseau ou de l’ensemble du réseau). Ces programmes exploitent les failles présentes sur les ordinateurs (Windows, PDF , Flash,Internet Explorer ,Firefox , ….)

L’administration de l’ordinateur infecté par le bot peut être directe ou non. En cas d’administration directe, l’individu mal intentionné peut établir la liaison avec l’ordinateur infecté et l’administrer à l’aide des instructions reprises dans le corps du programme bot. En cas d’administration indirecte, le bot établit lui-même la connexion avec le centre d’administration ou avec d’autres machines du réseau, envoie des requêtes et exécute l’instruction reçue.

Dans les deux cas, le propriétaire de l’ordinateur infecté ne soupçonne même pas que sa machine est utilisée par des individus mal intentionnés. C’est la raison pour laquelle les ordinateurs infectés par un bot , placés sous le contrôle secret des cybercriminels , sont appelés des zombies , de même pour le réseau qu’ils forment . Dans la majorité des cas, les ordinateurs qui figurent dans les réseaux de zombies sont des ordinateurs de particuliers.

Utilisation d’un réseau Zombie

Les individus mal intentionnés et les réseaux cybercriminels peuvent exploiter les réseaux de zombies afin d’effectuer un large éventail de tâches criminelles :
Récolte d’adresse email et Diffusion de courrier indésirable.
Dénie de services.
Proxy .
Vente et location de zombie .
Phishing .
Vol de données confidentielles notamment cartes bancaires.

Principaux Outils BOTNET

Nous allons nous concentrer dans cette partie sur les BOTNET internet (Le bot se connecte à un serveur Web déterminé, reçoit les instructions et transmet les données en guise de réponse)
CrimePack , Phoenix , Eleonre , Fragus , Yes Exploit , Siberia , El Fiesta , Icepack , Mpack , WebAttacker, Impassioned , Liberty , Spack Lite ,Neon , Unique , ZoPack , T-IFRAMER , LuckySploit , AdPack, Firepack , Tornado , Armitage , JustExploit , Neosploit , iPack y GOLOD, Napoleon Sploit Bleeding Life , Zombie Kit, Seo Sploit , Lupid ,Nuke sploits p4ck

Statistiques et captures marquantes

Relatives aux pc zombies marocains à partir du c&c BOTNET ZEUS .

1 – Un mot d’ordre : Microsoft

Cliquez pour agrandir
Systemes d'exploitations des BOT Marocains

Tous les systèmes d’exploitation Windows sont infectés avec en moyenne :
– 45% XP SP1,SP2,SP3,
– 25% VISTA,
– 20% Windows Server .
– 10% Seven,

2 – Je suis un pc zombie marocain

Cliquez pour agrandir
Les bots marocains en ligne

Les bots marocains en ligne représentent en moyenne 0,7 % de l’ensemble des Bots .En première position les Usa suivis du canada et le Mexique 25 %, les UAE 26 % ensuite les pays européens, l’inde, la chine, et les pays africains en dernière position.

3 – J’aime aussi les entreprises marocaines

Cliquez pour agrandir
Les entreprises aussi sont touchées par les infections zeus

Les utilisateurs ne sont pas les seuls infectés . En effet , plusieurs institutions notamment l’ANAPEC , comme mentionné sur la capture ci-dessus , les individus représentent en moyenne 70 % contre 30 % des institutions ou des sociétés .

4 – Je collecte des adresses mail marocaines mais pas seulement …


Cliquez pour agrandir
Liste adresses mail

Cliquez pour agrandir
Identifiants de messageries

Les informations recueillies par les BOTS marocains sont successivement :
1 – les adresses mail (capture droite):
2 – les comptes de messagerie et leur mot de passe pour l’envoi de Spam et la réinfections (capture gauche) .
3 – des informations personnelles ciblées et des captures d’écran pour le chantage par Internet .
4- cartes de crédit étrangères (capture en bas )

5 – l’e-commerce au Maroc , ce n’est pas pour demain !!

Cliquez pour agrandir
Exemple : capture de carte de paiment

Très peu de cartes de crédit étrangères sont récoltées par les bots marocains 20/3000 bot en moyenne, contre 20/100 pour d’autre pays tels que les USA , le canada , les UAE . La revente de ces cartes s’avère être une activité très rentable pour les cybercriminels.

6 – !!!

Cliquez pour agrandir
Capture d'ecran d'une victime

Une autre activité encore moins connue : le chantage , en choisissant une cible particulière ,  le cybercriminel  va guetter les échanges , les captures vidéo … , une activité qui dure dans le temps  mais qui rapporte  .

Tagged : , , , , ,

10 commentaires pour “Les PC zombies marocains et le Botnet Zeus”

  1. Abdeljaouad Ouahid Says:
    avril 6, 2011 at 9:06

    Bonjour cher hamza,

    je tiens à te remercier d’avoir partager ces informations très intéressantes concernant les réseaux bots marocains.

    Par contre, j’aimerai bien savoir d’où t’as pu extraire toutes ces captures d’écran (si tu vois bien ce que je veux dire ^^ ).

    Cordialement.

  2. Yasser ABOUKIR Says:
    avril 7, 2011 at 1:06

    Merci pour le partage de toutes ces informations et statistiques sur ce réseaux de botnet! Surtout qu’il y a un manque d’études sur ce type de menaces qui met en péril et la sécurité des particuliers et celle des entreprises. Nice C&C p0wn :)

  3. 80% des Marocains (skids) qui hackent utilisent encore Bifrost ou meme prorat , je doute fort en existence d’une parti qui utilisent des outils plus avancés tels que les botnets , utiliser des packs public(eleonore….erc ) peut être..? , mais qui investissent dans le domaine Blackhat , je penses pas lol .

  4. Excellent dossier ! Très bien expliqué. Didactique implacable et bien documenté. Merci pour toutes ces infos.
    Est ce que les Mac marocains sont concernés aussi ?
    Quelles sont vos recommandations ? Un antivirus suffit il ?
    Merci d’avance pour vos réponses

  5. Salut Zéa et merci pour ton commentaire , les mac sont moinnnnn concerné . le plus important n’est pas l’antivirus mais les réflexes de l’internaute : documents joints , sites visits, liens clickés … car la plus part des nouveaux virus ne sont détectés que par une petite parti des antivirus .

  6. fahmipro Says:
    avril 29, 2011 at 4:00

    hhhhh aucune relation entre le niveau des HACKERS marocaines et le niveau de sucurité des marocaines en general :::

  7. Sheratsuki Says:
    juin 16, 2011 at 3:34

    Petite correction : \"CrimePack , Phoenix , Eleonre , Fragus , Yes Exploit …\" sont des expl0it packs et pas des c&c panels . Ca sert a diffuser les malwares en utilisant des pages piégés grâce a des exploits et pas a contrôler des pc.

    Vus que Zbot est maintenant gratuitement téléchargeable dans ça version finale , On va voir des nouvelles variantes de cette bestiole (FuD) avec un panel php moins vulnérable qu\’avant, ce qui rend les choses plus difficiles au Zeustrackers.

    Bon sujet 0_0.

  8. Merci Sheratsuki , CrimePack and co ont été cité dans la partie « Outils BOTNET » et ne sons pas présentés comme des c&c . et merci encore pour l’info .

  9. brahimhackman Says:
    juin 27, 2011 at 10:00

    pour la sécurité sur tt le ssl chaque département de notre pay dois penser a crée sa propre algo de cryptage des donnes confidentiel car 99% des algo crypté sont décrypter donc y pa de sécurité dans le monde d’info :( sauf si chacun pense a crypter ses infos confidentiel .

  10. sychedelix Says:
    juillet 1, 2011 at 6:25

    @younes sans avoir de connaissance en sécurité informatique et en programmation l’utilisation d’un botnet c’est du script kidis…

Laisser un Commentaire