Forums
Vous n'êtes pas connecté.
#1 21/03/2006 00:43:59
- bouvier
- Membre
- Date d'inscription: 20/03/2006
- Messages: 3
Mode opératoire du Mail Bombing?
Bonjour à tous,
Je suis demandeur d'informations concernant les attaques dites "Mail Bombing".
J'étudie un cas d'attaque par envoi massif de courriels complets non sollicités ou d'initialisations de connexions par la commande "EHLO" afin d'engorger et faire chuter un serveur.
L'attaque est visible dans les logs du serveur victime par la multiplication des requêtes en simultané provenant de serveurs SMTP. Au mieux, le serveur de réception chute puis redémarre au pire il reste en croix.
Q?: quels sont les Worms connus pour opérer ce type d'attaque à l'insu d'un ordinateur tiers? L'usagé de l'ordinateur infecté s'aperçoit-il systématiquement de l'accroissement de son trafic sortant? (Cf un précédent sujet dévellopé par oliwan et Polo62)
Q?: quelles sont les traces laissées visibles dans le rapport de Hijackthis lorsque l'on étudie les logs de la machine infectée à l'origine du mail bombing?
Q?: connaissez vous les noms des programmes pirates utilisés pour générer volontairement ce type d'attaque? Si oui, connaissez vous le moyen de les débusquer?
Merci à tous de votre aide. A bientôt.
L'Internet est pavé de bonnes intentions... ^^
Hors ligne
#2 21/03/2006 14:17:56
- bouvier
- Membre
- Date d'inscription: 20/03/2006
- Messages: 3
Re: Mode opératoire du Mail Bombing?
Bonjour à tous,
Concernant ma précédente demande, savez vous comment les worms de Mail Bombing choisissent leur(s) cible(s)?
J'imagine qu'ils doivent utiliser le carnet d'outlook, de thunderbird ou de tout autre soft de communication mais il est possible qu'ils se basent également sur l'historique des connexions SMTP...
Je vais bientôt récupérer un ordinateur vraisemblablement infecté, je vous ferais parvenir l'analyse compléte pour ceux que ce sujet intéresse. En attendant vos réponses seront les bienvenus :-)
Merci et à ++
L'Internet est pavé de bonnes intentions... ^^
Hors ligne
#3 28/03/2006 22:59:16
Re: Mode opératoire du Mail Bombing?
Bonjour,
Ce sujet mérite d'etre développé cependant le principal probleme avec ce genre d'attaque sont les innombrables vers utilisés pour la pluspart des vers de messagerie (msn, irc, outloock..) Par contre les attaques via un historique de connexion smtp sont quasi inéxistante pour une raison simple c'est qu'ormis des reseaux assez developpé necessitant une tracabilité des envois il ne demeure pas beaucoupo de cible pôtentiel ce qui en réduit l'interet pour un pirate x ou y.
Un PC subissant ce genre d'attaque n'est pas non plus forcement infecté il peut sagir simplement d'une autre machine possedant l'adresse mail ciblée dans la liste des contacts tout simplement ce qui cause un souci de deceler la cause principale. Autre cas un site ayant ete piraté et les adresses récoltées utilisées pour du spamm généralement commercial.
Bref les possibilités sont innombrables et l'analyse d'un log hijackthis se résume tres souvent au cas par cas il est tres difficile d'etablir une procédure type en cas d'attaque par mail bombing l'une des plus efficaces restera le banissement de l'adresse emetrice a l'aide d'un programme anti spam ou d'un logiciel de messagerie possedant cette fonctionalité (thunderbird, Foxmail..)
Polo62 ou !aur3n7
Hors ligne
#4 30/03/2006 20:15:14
- bouvier
- Membre
- Date d'inscription: 20/03/2006
- Messages: 3
Re: Mode opératoire du Mail Bombing?
Bonjour à tous,
Ayant récupéré une machine infectée victime d'un ver utilisant le "Mail Bombing", j'ai pu retrouver la cause de l'infection au moyen d'Hijackthis. Il s'agit vraissemblablement du worm W32.mytob.K@mm, ce dernier ayant choisi parmi le carnet d'adresses d'Outlook les cibles de l'attaque. Dans le cas de la victime, son carnet d'adresses professionnelles a permis au ver de se propager via une quinzaine de serveurs SMTP de son fournisseur d'accès (en l'occurence WANADOO) avant de toucher les serveurs SMTP des entreprises gérant les adresses mails de ses contacts.
Dans ce cas particulier, on peut distinguer trois types de victimes selon leur niveau dans le réseau.
La première est indiscutablement le titulaire de l'abonnement qui à son insu "héberge" le worm et permet l'attaque. Sa ligne ayant été coupée en plus par les services Abuse@ de WANADOO.
Le deuxième type de victime est la société qui gére les noms de domaine ou adresses de messagerie des contacts. Son serveur recevant un nombre de requêtes trop élevé (jusqu'à des milliers à la seconde...), il chute. Les responsables réseaux n'ayant d'autre choix pour empêcher l'attaque que de bloquer les serveurs SMTP de l'attaquant. Dans le cas qui nous occupe, le blocage des serveurs SMTP de WANADOO empêche tous les clients de recevoir ou d'envoyer des mails à des abonnés WANADOO. Ce n'est qu'une solution provisoire et contraignante!
Le troisième type de victime est le destinataire final du mail bombing c'est à dire la personne dont l'adresse apparait dans le carnet d'adresses OUTLOOK de la personne infectée à l'origine. En ouvrant sa boite mail, s'il le peut encore, il constate son "bourrage" et aura du mal à rétablir son bon fonctionnement.
Comme promis, je vous mettrais en ligne le rapport d'Hijackthis concernant ce worm vers le 12 avril.
A bientôt à tous et bon courage.
L'Internet est pavé de bonnes intentions... ^^
Hors ligne
