Attaque par mail: botnet et zombie

Notez cet article

Il y a quelques jours, j’ai subi une attaque par mail assez violente. J’en profite pour la détailler, et y apporter des commentaires. C’est toujours intéressant de connaitre les techniques des méchants, et puis au cas où je l’aurai oublié, le mail c’est mon dada ;-)

Tout d’abord, j’ai reçu en l’espace de 2 minutes près de 400 mails, et à ce jour, je continue d’en recevoir sporadiquement mais en très faible quantité. Ce n’est pas à proprement parler du spam, ni du mail-bombing, mais des bounces (des échecs de livraison). Quelqu’un a utilisé mon adresse publique (sendmail arobase pagasa point net) pour envoyer des courriers non sollicités, et je ne fais que recevoir les erreurs.

La première chose que j’ai constaté est que nous ne sommes plus dans le chemin classique d’expédition du spam. Il y a quelques années, le spammeur utilisait traditionnellement un relai ouvert, un serveur SMTP non sécurisé pour envoyer ses millions de mails. Il n’était alors pas bien difficile de fermer le relai et de passer à autre chose. Cette technique aurait tendance à diminuer mais au vue du nombre de tests que j’ai quotidiennement sur http://www.pagasa.net/test-smtp/, elle n’a pas encore complètement disparu.

Aujourd’hui, ce sont bien des centaines de machines qui sont utilisées pour spammer. Ces machines forment un botnet, un réseau de PCs compromis par des failles de sécurité et pilotés à distance via IRC ou par des requêtes HTML (POST par exemple, pour moins éveiller les soupçons).

Dans mon cas, pratiquement toutes les machines que j’ai repérées sont référencées sur les listes noires comme zombie ou proxy ouverts. Si vous avez un doute sur votre propre machine, vous pouvez tester votre adresse IP via mon script Blacklist.

Ce qui est ennuyeux avec cette histoire, c’est qu’il n’y a aucun moyen d’arrêter le spam en cours, et d’un autre côté, on peut difficilement remonter jusqu’au spammeur en lui même: il faut isoler le zombie et l’inspecter méthodiquement; et encore, on a assez peu de chance de retrouver quoique ce soit: un vrai spammeur ne laisse pas beaucoup de pièces à conviction derrière lui et il n’est pas impossible qu’il chaine ses opérations en faisant piloter un zombie par un autre :-O

Je n’ose pas imaginer le jour où des attaques de grandes envergures seront déclenchées; j’ai d’ailleurs même déjà l’impression que c’est déjà commençé. Les botnets sont sans nulle doute la plus grave menace qui pèse sur l’intégrité de l’Internet.

Au cours de mes investigations, j’ai remarqué que le zombie jouait le rôle d’un agent de transfert (MTA): il est capable d’extraire le MX (Mail Exchanger), ce qui lui permet de communiquer directement avec sa destination, sans passer par un serveur SMTP tiers, celui de son FAI, bien entendu :-)

Mais parfois le zombie détecte la présence d’un serveur SMTP déjà installé en local et l’utilise pour transporter son mail. J’ai pu ainsi repérer quelques Exchanges piratés. Les entêtes que j’ai récupérés prouvent bien une utilisation locale et non un relayage.

En ce qui concerne le spam en lui même, il est destiné à un public russe et peut se présenter sous deux formes:
– Un message écrit en russe, à connotation sexuelle, et invitant à télécharger un Flash sur Imageshack. Un passage à l’antivirus n’a rien donné pour l’instant. Je suppose qu’il s’agit d’un cheval de Troie, exploitant une faille Flash et permettant ainsi à la machine d’incorporer le botnet.
– Le spam en lui même: une invitation au séminaire « UNE VOITURE DANS VOTRE ORGANISATION: comptabilité, fiscalité de l’exploitation » donné par un certain Семенихин В.В, le 26 août 2008. (Merci Google). Aucune URL n’est présente, juste un numéro de téléphone. Curieux, tout de même de spammer pour un séminaire. (Tentative de discrédit par un concurrent ?)

La chose qui est certaine, c’est que l’Internet est devenu très dangereux.




Vous êtes un administrateur débutant ?


5 commentaires sur “Attaque par mail: botnet et zombie

  1. Bonjour,
    Je gère le parc informatique du cabinet Bonnel-Conseils (10 postes sous Windows XP et 1 Serveur Dell sous Windows Server 2003, par l’IP Fixe 62.160.80.133). Je connais mal Exchange et je le leur ai installé avec les paramêtres standard.
    Depuis 2 mois, ils rencontrent exactement le problème que vous décrivez dans votre article « botnet et zombie » (y compris les retours en alphabet cyrillique), et Oléane menace de leur fermer le port 25 si ce n’est pas réparé sous 8 jours.
    Avez-vous quelqu’un à me recommander (ou vous-même) pour trouver la solution ?
    A défaut de quoi, il ne me restera plus qu’à tout reformater et réinstaller, avec le risque que le problème revienne à plus ou moins courte échéance.
    Merci d’avance.
    Noël Goyet
    06.07.38.22.69

  2. Bonjour Noel,

    votre serveur est blacklisté: http://www.pagasa.net/doblacklist/blacklist.php?ip=62.160.80.133

    Il est difficile de faire un diagnostique à distance, mais il est clair que votre Exchange a été compromis. Il y a deux possibilités:
    – votre Exchange est relai ouvert (voir la page test-smtp: http://www.pagasa.net/cgi-bin/chksmtp?smtp=62.160.80.133&conf=chksmtp.conf
    – votre Exchange fait partie d’un botnet. Notez qu’il est aussi envisageable que ce soit l’un de vos postes situés derrière l’Exchange qui pose problème.

    Comme vous rencontrez les mêmes symptômes que moi, je m’oriente vers la deuxième possibilités, à savoir que votre machine fait partie d’un botnet et qu’elle est contrôlée à distance via une porte dérobée.

    Je vous envoi mes coordonnées par mail, que l’on puisse en discuter plus sereinement.

  3. Mon serveur est effectivement un relais ouvert, en tout cas il apparait comme tel à la ligne 17 de votre test. Mais je constate que les 6 serveurs exchange que j’ai installés en suivant le paramétrage standard échouent au même test. Et toutes les solutions que j’ai testées à partir des différents forum n’y changent rien, sauf à bloquer complètement toutes les réceptions.

  4. Indice éventuel : dans le gestionnaire Exchange, le protocole SMTP permet d’afficher des « sessions en cours » et je vois bien qu’il y en a en permanence avec des adresses IP ou des noms qui me sont parfaitement inconnus.
    Par ailleurs, le week-end, toutes les stations sont éteintes, et le phénomène persiste, il est donc bien situé dans le serveur.
    A bientôt j’espère
    Noël Goyet

  5. Je répond « pour le bien-être de l’information »: le serveur semble être effectivement un relai ouvert. En attendant de trouver une solution au problème Exchange, le mieux est de faire gérer les MX directement par Oléane et de canaliser le flux SMTP entre eux et votre serveur via une règle sur le firewall ou à défaut sur le routeur.

    Voir à ce sujet l’article sur les relais ouverts:
    http://www.pagasa.net/les-relais-ouverts/

    Ceci est d’ailleurs vrai pour toute type d’appli réseau « sensibles »: TSE, VNC, etc.

Laisser un commentaire