Mon honeypot, Mon Zoo (Trojan, RAT, Stealers) et abuse Orange

Un petit billet pour vous présenter rapidement une de mes VM avec mon Zoo à malwares, sous forme de vidéo :

http://www.youtube.com/watch?v=vy4B4JtrLjs

Comme vous pouvez le voir, il y a pas mal de malwares qui tournent, en majorité des RAT et quelques Backdoor IRC et des Spambots. Pour monétiser, ces derniers installent aussi des Stealers ou des adwares, bref rien de vraiment nouveau.
Ces derniers sont assez actifs, tous les jours des mises à jour de ces malwares sont téléchargés pour échapper aux détections des antivirus et maintenir le PC infecté dans le Botnet.

Comme le montre la capture ci-dessous, ce qui a valu le billet suivant Botnets et service d’hébergement (rapidshare, dropbox etc) :

La récupération des URL se fait à travers le passage d’un Proxy Squid – une redirection du port 80 sortant et effectuée, via Iptables, je vous donne le script pour l’exemple :

neptune:/home/malekalmorte/malware# cat /root/fw.sh
iptables -F
iptables -t nat -F

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -p tcp -m multiport ! --dports 445,135:139 -j MASQUERADE

# open vpn
iptables -A INPUT -d 192.168.1.5 -p udp -m state --state ! INVALID --dport 1194 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.5 -p udp -m state --state ESTABLISHED,RELATED --sport 1194 -j ACCEPT

# PREROUTING proxy etc
#iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.1.5 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.1.5 -p tcp --dport 8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.1.5 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.1.5 -p tcp --dport 25 -j REDIRECT --to-port 225
#iptables -t nat -A PREROUTING -i eth0 -p tcp ! -s 192.168.1.5 --dport 25 -j REDIRECT --to-port 25

# FORWARD
iptables -A FORWARD -o eth0 -p tcp -m multiport --dports 445,135:139 -j DROP
iptables -A FORWARD -o eth0 -d 94.23.206.78 -j DROP

### BLOCAGE WEBMAIL POUR SPAM
for i in `host login.vk.com |awk '{print $4}'` ; do iptables -A OUTPUT -d $i -j DROP ; done
for i in `host win.mail.ru|awk '{print $4}'` ; do iptables -A OUTPUT -d $i -j DROP ; done

# HOTMAIL
iptables -A OUTPUT -d 62.41.63.0/24 -j DROP

# MS / MSN / LIVE.COM
iptables -A OUTPUT -d 207.46.216.0/24 -j DROP
iptables -A OUTPUT -d 213.199.149.0/24 -j DROP
iptables -A OUTPUT -d 65.55.103.0/24 -j DROP
iptables -A OUTPUT -d 65.55.102.0/24 -j DROP

# AOL
iptables -A OUTPUT -d 64.12.229.0/24 -j DROP
iptables -A OUTPUT -d 205.188.90.0/24 -j DROP

# yahoo
iptables -A OUTPUT -d 87.248.114.0/24 -j DROP
iptables -A OUTPUT -d 77.238.186.0/24 -j DROP
iptables -A OUTPUT -d 77.238.187.0/24 -j DROP
iptables -A OUTPUT -d 217.12.8.0/24 -j DROP

# ANTI-DDOS
iptables -A FORWARD -o eth0 -p icmp -m limit --limit  1/s --limit-burst 1 -j ACCEPT
iptables -A FORWARD -o eth0 -p icmp -m limit --limit 1/s --limit-burst 1 -j LOG --log-prefix PING-DROP:
iptables -A FORWARD -o eth0 -p icmp -j DROP

iptables -A FORWARD -o eth0 -p tcp -m length --length 1400:1500
iptables -A FORWARD -o eth0 -p udp -m length --length 1400:1500

# boulet qui down les mal
iptables -I INPUT -s 188.228.88.134 -j DROP

Le principe avait déjà été évoqué sur la page suivante : Récupération du traffic HTTP d’une machine infectée – grâce à ce système de relai, il est aussi possible de récupérer le traffic des IRCd, dans le cas où la connexion est en clair, exemple :

Ceci permet de récupérer les Urls des infections MSN qui sont envoyés en ordre à la machine infectée, comme cette dernière ne télécharge pas le fichier de l’URL donnée mais la transmet simplement sur MSN, l’URL ne passe pas par le Proxy et donc on ne l’a récupère pas automatiquement.

Enfin, comme vous pouvez le voir, il y a aussi une redirection du port 25 en sortant, afin de récupérer les connexions SMTP des des Spambots pour effectuer les captures d’écran des mails envoyés lors de certains billets et aussi bien entendu cela évite que les Spambots envoient des mails de spam sur la toile.

 

Au final, tout ceci permet d’alimenter le site suivant : http://www3.malekal.com/malwares/index.php – les samples récupérés sont bien entendu envoyés aux antivirus à travers et on peux suivre l’évolution de quelques familles de malwares.

Tacler par l’abuse d’Orange

Si vous regardez attentivement le script donné plus haut, il y a des règles pour bloquer des classes d’IP Yahoo/Hotmail.
Ces blocages ne devaient plus fonctionner ou sont incomplets (j’ai pas creusé) car il est arrivé, il y a quelques jours, que la VM fassent des connexions vers les sites d’hotmail, Gmail et AOL.
Sur le moment, je n’ai pas réagi.

Le lendemain, je reçois ce mail d’abuse d’Orange – dont voici la copie :

Bonjour,Nous avons bien reçu votre message en réponse à notre avertissement pour spamming et nous nous permettons de vous préciser ces quelques points : les plaintes réceptionnées nous ont permis d’identifier votre ordinateur comme étant le vecteur de ces envois.

Nous ne faisons pas de recherche par rapport aux seules adresses emails (d’expéditeur et de réponse).
L’adresse IP contenue dans ces en-têtes est la seule information fiable nous permettant d’identifier le poste émetteur.
C’est sur ce dernier critère que nous avons pu remonter à votre compte.

Comme indiqué dans nos différents messages, si ces envois ne sont pas volontaires, une mauvaise configuration de votre poste peut être à l’origine de ce problème (paramétrage Windows, de routeur, proxy, serveur SMTP ou NNTP), nous vous remercions de faire rapidement le nécessaire.

L’ouverture du partage de fichiers Windows peut également être à l’origine de ces désagréments. Vous trouverez toutes les informations nécessaires sur :
http://r.orange.fr/r?ref=abuse_rep&url=http://assistance.orange.fr/505.php

Vous pouvez tester la vulnérabilité de votre installation et effectuer un scan anti-viral sur http://r.orange.fr/r?ref=abuse_rep&url=http://assistance.orange.fr/3593.php

Nous vous remercions de faire les tests indiqués le plus rapidement possible et nous tenir informés de vos résultats.

Nous nous permettons de préciser que ce message ne comporte aucune sollicitation commerciale.

NB : Pensez à tester tous vos ordinateurs

Cordialement,

Service Abuse Orange Internet

Première fois que je reçois ce mail, depuis que je joue avec des VM.
Ces mails, je l’ai aies déjà vu sur certains posts de désinfection.
Je suis très surpris par la rapidité de l’abuse d’Orange pour prévenir les utilisateurs (jimagine que le processus est automatisé), néanmoins, ça fait plaisir de voir un FAI se soucier véritablement de la lutte contre le SPAM.
Je tiens donc à saluer par ce billet, l’abuse d’Orange.

 

Bien entendu, je me suis bougé les fesses. J’ai bloqué les adresses sur le fichier HOSTS de la machine :

 

cat malekalmorte@neptune:~$ cat /etc/hosts
127.0.0.1    localhost
127.0.1.1    neptune.home    neptune
127.0.1.1    bihsecurity.com
127.0.0.1    a.rowfirst.com
127.0.0.1    abcabcabcabcabca.tobsupper.com
127.0.0.1    newbeststaticticdomainsmin.com
127.0.0.1    ceterv.com
127.0.0.1    wap.aol.com
127.0.0.1    pwmtredimuk.com
127.0.0.1    m.mail.live.com
127.0.0.1    mpeople.live.com
127.0.0.1    mail.live.com
127.0.0.1    mlogin.yahoo.com
127.0.0.1    m.yahoo.com
127.0.0.1    uk.m.yahoo.com
#127.0.0.1    winx32stats.com
127.0.0.1    sz0066.wc.mail.comcast.net
79.142.67.111    c0re.us
79.142.67.113    zer0day.co.cc

 

Pour ceux ou celles qui recevraient ce type de mail, vous pouvez suivre la Tutorial et Guide Procédure standard de désinfection de virus. Cela devrait résoudre le problème d’envoi de SPAM.

Pour ceux qui ont un réseau avec pas mal de machines et qui ne savent pas identifier quelle machine SPAM, vous pouvez vous reporter à cette page : Spambot : identifier une machine qui spam sur un réseau/LAN


Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 45 times, 1 visits today)

6 thoughts on “Mon honeypot, Mon Zoo (Trojan, RAT, Stealers) et abuse Orange

  1. Joli.. Me suis moi-même fait une pépinière à malware.
    (Usez et abusez des snapshots :p)

    J’ai cependant du mal à intercepter les Stealer en .NET qui utilisent Gmail..
    J’ai beau rediriger le smtp de gmail dans mon host vers 127.0.0.1 (avec un beau faux serveur smtp)… les programmes provoquent une exception de sécurité…

    une idée?

  2. J’ai édité la page initiale pour préciser que j’ai ajouté les adresses Webmail dans le fichier HOSTS pour éviter que les VM puissent s’y connecter.

    Tu veux dire quoi par : « les programmes provoquent une exception de sécurité… » ?

    Si tu es en full Windows, j’entends la machine hôte sous Windows et tes VM dessus et c’est tout… et surtout si pas de passerelle sous GNU/Linux, c’est plus difficile à bloquer.

    Le mieux c’est de bloquer la sortir du port 25 sur ton routeur, après mettre les adresses des webmail dans les fichiers HOSTS des VM en 127.0.0.1
    Le hic est que si tu tombes sur un malware qui réécrit le fichier HOSTS tu es bonbon.

    La meilleur solution, ça reste d’avoir une passerelle, au moins, tu maitrises tout qui passe par elle avant de sortir.

    PS : tu as bcp de malwares ? si oui, tu pourrais me faire un petit zip voir si je peux tirer de nouvelles URLs ? 🙂

  3. En fait, les stealer (je tombe surtout sur ca) en NET utilisant SSL vérifient d’une manière ou d’une autre (par OCSP je crois) si les certificats qu’ils recoivent pour le site distant sont les bons..
    Sinon, le Stealer balance une exception.

    http://fr.w3support.net/index.php?db=so&id=526711

    Bon, ce n’est pas grave, car en sniffant le traffic SSL du programme (hook des api) on peut voir le destinataire, mais le mail part quand même 🙁

    Sinon, pour la VM : en général je ne laisse pas sortir les programmes car je les attaquent au débogueur 🙂 Et pour la désinfection… à l’arrache, à coup de Hijack, fichier cmd, et GMER

    A ce sujet , quelques petits outils :

    http://www.at4re.com/download.php?view.27 => Lit les infos d’un serveur Spynet
    http://www.at4re.com/download.php?view.152=> Decode les infos d’un IStealer..Perso, ca n’a jamais marché
    http://www.at4re.com/download.php?view.25 < d’autres analyser de rat

    A part cela, j’ai du collecter quelques bots IRC/Web.. Youtube est une vraie mine d’or 🙂
    Want? 🙂

  4. j’ai regardé les progs, c’est pour avoir les infos des RAT (serveurs, mdp etc).
    Le prob c’est qu’il faut pouvoir les unpacker !

    et oui je les veux bien, voir si avec tes malwares, ça en download d’autres 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *