Rechercher sur ce blogue

vendredi 25 décembre 2015

Les attaques MiTM 'man-in-the-middle' ,Microsoft ni fait presque rien ?



Dans une actualité sur son blog, Microsoft dit vouloir combattre les adwares MiTM.
Les attaques MiTM 'man-in-the-middle', sont des attaques anciennes qui consistent à positionner un composant, généralement entre l'ordinateur et la connexion afin de fausser les résultats en effectuant des redirections vers un serveur contrôlé par l'attaquant.
Le but, en général, de ces attaques est de pouvoir voler des informations comme des mots de passe.
Les Trojans types Banker utilise ces attaques "MiTM" mais au niveau du navigateur WEB en plaçant un proxy-WEB pour récupérer les informations de connexions au site bancaire.

Certains familles d'adwares et on pense à Komodia/v-bates sont très friands de ces techniques afin de pouvoir effectuer des redirections de régie publicitaire afin d'injecter des publicités.

Généralement, cela se traduit :
  • Une modification des serveurs DNS de l'ordinateur, Komodia, n'est pas le seul, par exemple, DNS-Unlocker utilise cette approche.
  • L'installation d'un certificat afin de pouvoir injecter des publicités sur sites HTTPs
  • Spéciquement la variante v-bates "patch dnsapi.dll" qui change le fichier HOSTS afin de pouvoir opérer des redirections.
  • L'installation d'une DLL dans couche Winsock afin de manipuler les résultats réseaux. Les variantes abengine/acengine utilisent ces techniques.

Pour les deux dernier cas, se reporter la page : Pilotes "bsdriver.sys" & "cherimoya.sys" : abengine, vous y verrez l'installation du certificat et l'utilisation de DLL dans la chaîne Winsock.
Effectivement, cela pose des problèmes puisque ces adwares peuvent s'ils le désirent voler n'importe quelles informations.

Image

On peut donc se réjouir de cet avancé de Microsoft, qui reste timide sur les détections adwares.
Seule, une détection sur l'installeur Amonetize qui va par des sites de cracks/keygen et qui installe d'ailleurs les variantes Komodia (actuellement Shopperz).

J'en avais parlé sur la page : PUPs/Adwares : guerre des moteurs de recherche où Microsoft, distribue via Bing, les plate-formes de PUPs DownloadAdmin / DomaIQ et InstallCore.
Probablement car ces derniers forcent le moteur de recherche Bing, ce qui permet à Microsoft d'augmenter le traffic de son moteur de recherche.
Yahoo! fait de même.
Personellement, j'y vois donc, une hypocrisie, Microsoft dit combattre les adwares mais autorisent ceux qui poussent Bing.

Image

Si ces détections font perdre trop de "clients" à la famille Komodia, il ne restera plus qu'à tenter de se diffuser via une plate-forme qui pousse Bing et en utilisant des techniques moins "sauvages".
Probablement que Microsoft ne dira rien et le proposera même sur son moteur de recherche Bing, en résultats commercials, comme c'est le cas des autres plate-formes PUPs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Source.:

Aucun commentaire: