Le premier botnet constitué de zombies Mac OS X ?

Le par  |  7 commentaire(s)
Réseau botnets

L'éditeur de solutions de sécurité Symantec pense avoir mis au jour le premier botnet Mac OS X responsable d'attaques par déni de service distribué.

Réseau botnetsÀ la fin du mois de janvier dernier, des copies frelatées d'iWork '09 et d'Adobe Photoshop CS4 pour Mac ont été détectées sur les réseaux d'échange P2P. Un bien mauvais plan pour les utilisateurs dès lors susceptibles d'infecter leur ordinateur Mac avec un cheval de Troie de la famille iServices que les éditeurs d'antivirus ont vite pris en compte.


Botnet ne rime plus seulement qu'avec Windows
Symantec a mis au jour une relation entre deux variantes de ce troyen ainsi véhiculées et au moins une attaque DDoS récemment perpétrée par un botnet, constitué donc de machines Mac OS X ce qui serait une première dans le genre. Le blog Zero Day parle d'un iBotnet.

Dans leur quête de preuves, les deux chercheurs en sécurité informatique à l'origine de cette découverte ont notamment pointé du doigt un script PHP exécuté en tant que root et lançant des attaques à l'encontre d'un site Web inconnu.

Selon ces chercheurs, le botnet utilise la technologie P2P pour accomplir certaines tâches, possède des capacités de redémarrage à distance, de chiffrement. Reste que pour McAfee, les fonctionnalités du bot n'ont rien de novatrices, et sa singularité réside uniquement dans le fait que c'est la plateforme Mac qui a été affectée.

Un nouveau terrain à explorer pour " le botnet " qui aime décidément à jouer les aventuriers en ce début d'année, après ce qui a été présenté comme le premier réseau zombie de routeurs et modems DSL équipés Linux.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #445701
Ca me fait penser à cette (ancienne) news :
http://www.generation-nt.com/commen...?page=2#11

Depuis 2006, Apple à fait de sérieux efforts en matière de sécurité. A cet instant précis ( 1239986210 ) il faut moins de 18 secondes pour passer root depuis un compte sans privilèges, toutes version confondues (ce qui signifie qu'il n'y a pas besoin de mot de passe administrateur pour laminer le système). Faille qui circule sous le manteau depuis juin 2008 et intégrées au frameworks depuis près de 2 mois.
Le Vendangeur Masqué Hors ligne Vétéran 1982 points
Le #445731
Ah tiens le mytho-hacker est de retour...

Personne ne parle de faille (à part toi), c'est une saloperie qui est installée dans une application (CS4 ou iWork) circulant sur la mule.
La faille est donc l'utilisateur, qui est je te rappelle le principe d'attaque du malware (mais visiblement tu sais toujours pas faire la différence avec un virus).

Et pour ta faille comme d'hab, des explications qui font peur, mais pas le moindre lien ou explication du procédé. Pourquoi tu la signale pas à Apple ta fameuse faille si t'es si malin ?
Le #445741

mais pas le moindre lien ou explication du procédé


C'est un peu de la confiture à un cochon ...
http://milw0rm.com/exploits/8266
Exploit public, fonctionnel ( bon, je te demande même pas de tester, économises toi) et en circulation/exploité depuis juin 2008, encore faut-il traîner ailleurs que sur les sites de fans amateurs ...

Maintenant qu'on a réglé une bonne foi pour toute le sujet de mon statut, on te classe comment illuminé ou simple crétin ?

Je pourrais aussi te taxer de miséreux de la réflexion ou de iMouton dans toute sa décadence mais ça te ne t'empêcherais même pas de contempler béatement ton inutilité, y voyant à tort une lueur d'intelligence.

Note que ça me désole de t'humilier ...
Le #445751
@KerTiaM

mmmhh, à la lecture du source, il me *semble* (je suis pas chez moi, je testerai ce w/e si une version PPC existe) que :

1- le code en question ne vise "que" les mac Intel (cf les versions de xnu-xxxxx-I386)
2- il nécessite d'avoir l'utilisateur root activé (base NetInfo) ce qui est normalement déconseillé sous OS X. Le seul logiciel que je connais demandant l'activation de l'utilisateur root dans la base NetInfo étant ToR (et je me demande bien pourquoi, d'ailleurs...)

Faudrait que je regarde un peu plus les 2 sources (le script shell et le source C) mais à l'heure qu'il est milw0rm n'est plus accessible et je n'ai donc pas accès au source (fermé l'onglet un peu vite, et forcément on veut y revenir et valà, paf, théorie de l'emmerdement maximal tout ça - et non, j'ai désactivé le cache de FF sur mon p'tit eeepc, donc pas moyen de retomber dessus (idem, pas de swap, question de durée de vie du SSD - y'a pas mal de pros & cons au niveau du swap ou du cache FF/Opera & cie, mais dans l'expectative, je préfère la solution la moins risquée )) mais il me semble que c'est de l'injection de code à base de memcopy (auquel cas je ne risque pas de le voir se lancer sur mon vieux dual G4 (petit-boutiste/gros-boutiste tout ça... en dehors du problème sus-cité de noyau xnu visé ))
Enfin je verrai bien demain (aaah, weeeek eeeend )

@LVM

En général KerTiaM sait de quoi il parle et ne balance pas de hoax.

Le #445821
lidstah effectivement je l'ai testé que sur du Intel, en ce qui concerne le ppc j'ai pas pensé a essayer.

Ce sont des macs quasi sortie-usine, je n'ai pas sciemment activé l'utilisateur root, mais j'ai installé des drivers d'imprimante et une suite bureautique.. qui ont peut-être activé cet utilisateur vu que ce sont des installers pas très bavard.

Je doute que ça utilise l''user" root mais injecte le lancement de shell depuis une des parties du mécanisme de "mount" qui a le suid adequat. Mais bon là je touche du doigt mes limites de compréhension des mécanismes internes de Mac OSX.
Le #445951
lol Le Vendangeur Masqué

toujours là sur les news Apple..

j'ai eu cette faille, car j'ai téléchargé l'iwork09 sur ma kalyway , mais c'était a des fins de tests. Quand j'ai voulu configurer des régles strictes sur mon firwall, , j'ai tout cassé ça voulait pas, je me suis rendu compte que des infos essayaient de sortir .
trop chiant @ configurer et a nettoyer, j'ai formatter en récupérant mes dossiers utiles.
Sinon ça roxe Mac OsX sur un core duo. le Coregraphic c'est quelque chose ! images superbes (photos/vidéos/HD) rien a voir avec windows malgré tous les logiciels, programmes existants. j'ai eu le même cas avec des distribs linux,.Alors ça vient d'ou, DirectX ?
Le #446181
Si je comprends bien ce qui risque de ne pas être le cas, c'est encore un malware du genre que l'utilisateur doit être un vrai zombie lui même pour l'attraper :?
Non mais dans ce cas je leur filerais mes identifiants bancaires tout de suite sur irc ce sera plus simple pour les méchants concepteurs !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]