Archives par mot-clé : Fast Flux

Contrefaçon, Cybersécurité, Entreprise, Propriété Industrielle, Securite informatique

La dérive des domaines parqués, nouvel angle mort cyber

Longtemps réduits à des pages de publicité sans enjeu, les domaines parqués basculent vers une fonction d’aiguillage massif vers l’arnaque, le malware et l’illégal.

Une étude d’Infoblox décrit un renversement net du risque associé aux domaines parqués. Alors qu’ils étaient surtout perçus comme des sites « oubliés » affichant des annonces, ces domaines serviraient désormais de relais d’attaque. Plus de 90 % des visites observées, soit plus de neuf cas sur dix, aboutissent à des redirections vers des arnaques, des logiciels malveillants, des contenus illicites ou des malwares. Le mécanisme central s’appuie sur des systèmes publicitaires dits de direct search, ou zero-click, qui peuvent réorienter l’internaute sans action. La complexité de l’écosystème rend l’abus difficile à signaler.

Quand le « parking » devient une infrastructure de redirection

Le domaine parqué appartient à l’archéologie vivante du Web. Un nom de domaine est enregistré, mais le site n’est pas développé. À la place, une page de parking s’affiche, typiquement alimentée par de la publicité. Cette pratique a longtemps été traitée comme un bruit de fond : une conséquence banale de la spéculation sur les noms, des projets abandonnés, ou de stratégies défensives autour de marques. L’étude soutient que ce décor a changé de nature. Ce qui comptait surtout comme un résidu numérique se transformerait en vecteur fiable pour des opérations malveillantes.

Le point de rupture, tel que présenté, se situe dans la manière dont les visiteurs sont monétisés. Plus de 90 % des visites dirigées vers des domaines parqués finissent désormais sur des pages à risque. Le chiffre, pris au pied de la lettre, signifie qu’au-delà de neuf visites sur dix se traduisent par une redirection vers des arnaques, des scarewares, des contenus illégaux ou des logiciels malveillants. L’intérêt de ce résultat, s’il se confirme dans la durée, est moins la surprise statistique que le signal opérationnel : l’utilisateur n’atterrit plus sur une page publicitaire statique, il est « emmené » ailleurs, souvent immédiatement.

Un basculement dû à l’exploitation d’un mécanisme publicitaire qualifié de direct search, aussi décrit comme zero-click. La promesse implicite est simple : un internaute arrive sur un domaine parqué, et la chaîne publicitaire choisit une destination finale supposée pertinente, sans exiger de clic. En pratique, cette absence d’action humaine est précisément ce qui intéresse un acteur malveillant. Elle réduit les frictions, accélère le parcours et complique l’enquête, car l’infection ou l’arnaque se déclenche après une redirection automatique, pas après un choix explicite de l’utilisateur.

Le rapport insiste aussi sur un paradoxe technique. Les plateformes de parking et les grands intermédiaires publicitaires déploient des protections antifraude. Ces garde-fous, conçus pour filtrer le trafic artificiel, les robots ou les campagnes trop visibles, peuvent produire un effet inattendu : offrir aux cybercriminels des moyens supplémentaires pour camoufler leurs manœuvres. Autrement dit, une logique de conformité publicitaire et de lutte contre la fraude pourrait, involontairement, améliorer la discrétion de campagnes abusives en leur permettant de se fondre dans des flux considérés comme « normaux » par l’écosystème.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Le direct search, ou comment capter l’attention sans clic

L’intérêt cyber du direct search ne se limite pas à la redirection. Il touche à la mesure, au ciblage et à l’attribution, trois piliers des systèmes publicitaires modernes. Un schéma où l’internaute, venu parfois par erreur ou par habitude, est pris en charge par une mécanique d’enchères et d’orientation. La page de parking devient un sas : elle ne présente pas un contenu, elle aiguillonne vers un autre domaine, choisi par un « annonceur ». Le mot compte, car l’étude affirme que ces annonceurs diffusent fréquemment, non pas des produits légitimes, mais des escroqueries et des malwares.

Le zéro clic a aussi un autre effet : il réduit la capacité de l’utilisateur à se rendre compte qu’il a « changé de site ». Dans une séquence rapide, surtout sur mobile, l’internaute peut ne retenir qu’un seul geste, entrer une adresse, puis se retrouver devant une interface agressive, une fausse alerte de sécurité, un service illégal, ou un téléchargement piégé. Pour le renseignement de sécurité, l’enjeu est la traçabilité. Plus la chaîne est courte et automatique, plus il est difficile de distinguer l’accident (mauvaise saisie, domaine expiré) de l’abus systémique.

Des évolutions récentes des politiques de Google « semblent » avoir accru l’exposition des utilisateurs. Le texte ne détaille pas ces changements, mais la formulation est importante : le risque ne viendrait pas uniquement des attaquants, il serait amplifié par des ajustements de règles, de filtrage ou d’acceptation, côté plateformes. Dans l’économie du Web, une modification de politique, même bien intentionnée, peut déplacer la pression d’un endroit à un autre. Pour les acteurs malveillants, il suffit souvent d’une fenêtre de compatibilité pour industrialiser une tactique.

« Il y a dix ans, les recherches montraient que les domaines parqués étaient majoritairement inoffensifs et représentaient tout au plus un bruit de fond numérique » explique Renée Burton, vice-présidente d’Infoblox.  Aujourd’hui, nos travaux démontrent qu’ils sont devenus presque exclusivement malveillants. La transformation est frappante : ce qui n’était qu’un bruit de fond sur Internet est désormais une menace persistante, omniprésente et largement sous-estimée. » Pour une lecture cyber, cette déclaration pose une hypothèse forte : l’espace publicitaire associé aux domaines parqués ne serait plus marginalement pollué, il serait structurellement retourné.

Ce type de bascule intéresse aussi le renseignement au sens large, parce qu’il indique une capacité d’adaptation. Les attaquants ne se contentent pas d’exploiter des failles logicielles, ils réinvestissent des mécanismes économiques. Quand l’accès à une victime potentielle passe par une chaîne publicitaire, la défense doit combiner des réflexes de lutte anti-fraude, des contrôles DNS et une compréhension fine des redirections. La menace se situe moins dans la page visible que dans l’orchestration qui suit.

Trois portefeuilles de domaines, des tactiques avancées, un signalement quasi impossible

L’étude met en avant trois grands détenteurs de portefeuilles de domaines, décrits comme des « domainers », associés à des tactiques évoluées. Ce point compte, car il déplace l’attention du domaine isolé vers la capacité industrielle. Un acteur qui contrôle un large inventaire de noms peut tester, segmenter, puis optimiser. Cela ressemble moins à une campagne opportuniste qu’à une chaîne d’approvisionnement, avec des variantes selon la géographie, le terminal, l’heure, ou le profil supposé du visiteur.

Dans un contexte de parking et de redirections, le profilage des internautes peut servir à choisir la charge utile : afficher une page publicitaire anodine à un enquêteur, mais envoyer un utilisateur « ordinaire » vers une arnaque plus agressive. Cette logique de double visage est un classique de l’évasion. Elle rend les reproductions difficiles : deux visites successives peuvent produire deux destinations différentes, ce qui complique l’établissement d’une preuve stable.

Le rapport cite aussi l’exploitation de lookalike/typo squatting domains. L’idée est d’utiliser des noms qui ressemblent à des marques ou à des services connus, sans être identiques. Dans la pratique, la ressemblance suffit parfois à capter une fraction du trafic, surtout quand l’utilisateur tape vite, sur un clavier mobile, ou suit un lien tronqué. La collecte de mails via des fautes de frappe. Là encore, la logique est d’extraire de la valeur d’un écart minuscule. Une adresse saisie avec une erreur peut envoyer un message vers un domaine contrôlé par un tiers, offrant une opportunité de collecte, de phishing secondaire, ou de revente.

L’étude mentionne aussi l’usage de techniques DNS rares comme le fast flux. Le fast flux consiste à faire bouger rapidement les adresses IP associées à un nom, afin de compliquer le blocage et l’attribution. Si ce mécanisme est réellement observé dans l’écosystème des domaines parqués, il indique une maturation. On n’est plus seulement sur de la publicité douteuse, mais sur des méthodes historiquement liées à la résilience d’infrastructures malveillantes.

Pour finir, une difficulté centrale apaprait clairement : chaque acteur viserait des marques et des publics différents, ce qui rend la menace diffuse. Cette dispersion a un effet de brouillard. Une entreprise qui surveille sa marque peut détecter certains typo squatting, mais pas l’ensemble. Un utilisateur peut être touché une fois, sans que cela produise une vague visible. Les équipes de réponse à incident, elles, risquent de voir des cas isolés, sans relier immédiatement le symptôme, une redirection depuis un domaine parqué, à une infrastructure plus large.

La phrase la plus opérationnelle, dans ce cadre, concerne le signalement. Selon l’étude, l’empilement d’intermédiaires et la sophistication des redirections rendent la dénonciation des abus « quasiment impossible ». Pour la cybersécurité, ce n’est pas qu’un problème administratif. C’est un indicateur de surface d’attaque durable. Si la boucle de remontée est lente, fragmentée, ou opaque, l’attaquant bénéficie d’un temps d’exploitation long. Et dans un système publicitaire, la vitesse joue pour celui qui sait itérer, mesurer et ajuster.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cyber-attaque, Cybersécurité, DDoS

Recrudescence des attaques de DNS

Un commentaire

Recrudescence des attaques de DNS : de la nécessité de repenser ses stratégies de sécurité par Rodolphe Moreno, Directeur Général France d’Infoblox pour DataSecurityBreach.fr.

Le DNS est un canal de communication à la fois fiable et furtif, ce qui en fait un vecteur idéal pour les programmeurs mal intentionnés. L’infrastructure DNS conditionne l’accès au Web : il est impossible d’accéder à un domaine Internet quand le serveur DNS qui l’administre est en panne. Commençant à entrevoir les opportunités potentielles de ces failles, les pirates se sont mis à concevoir des programmes malveillants qui exploitent les DNS pour communiquer avec des bot masters afin d’accomplir diverses activités frauduleuses. Une nouvelle génération de botnets et de menaces persistantes avancées (Advanced Persistent Threats, APT) est ainsi née, qui utilise les DNS pour infecter des machines et les contrôler, lancer des attaques réseau sophistiquées ou couvrir des activités criminelles.

Quantité de réseaux sont chaque jour piratés via les DNS, cibles faciles pour les cybercriminels car accessibles et très peu sécurisés. Ils figurent parmi les rares services quasi systématiquement autorisés à traverser les pare-feux, la plupart du temps par des proxies DNS locaux désignés. Par ailleurs, la moindre intensité du trafic DNS, au regard du trafic Web ou des e-mails, explique aussi qu’il est moins rigoureusement filtré.

Il est essentiel, désormais, que les entreprises intègrent la protection des systèmes de noms de domaine dans leur stratégie de sécurité.

Nous avons donc voulu consacrer cet article aux principaux vecteurs de menace des DNS et aux solutions dont disposent les décideurs IT pour renforcer la sécurité des réseaux de leur entreprise et de leurs fournisseurs de services.

On distingue généralement deux types d’attaques :

· celles qui visent à provoquer une interruption de services DNS, telles que les attaques par déni de service / déni de service distribué (Denial of Service, DOS / Distributed Denial of Service, DDOS), empoisonnement de cache, manipulation de réponses ou encore interception (Man-inthe- Middle, MITM) ;

· et celles qui exploitent indirectement les DNS, comme les attaques par botnets, détournement de noms de domaine, APT ou détournement de DNS (tunneling). Les principaux vecteurs utilisés par les cybercriminels : Empoisonnement de cache : l’attaquant envoie de fausses réponses DNS à un résolveur DNS, lequel les stocke dans le cache DNS pendant la durée de vie prédéfinie. L’ordinateur considère que le serveur DNS empoisonné est légitime et incite alors l’utilisateur à télécharger, sans le savoir, des contenus malveillants.

Exploitation d’anomalies dans le protocole DNS : l’attaquant envoie des requêtes ou réponses DNS mal formées au serveur DNS visé afin d’exploiter les anomalies d’implémentation du protocole du logiciel du serveur. Cette technique permet de déclencher des dénis de service, d’empoisonner le cache ou de compromettre les serveurs ciblés.

Redirection de DNS (MITM) : le protocole DNS sur UDP étant sans état, il est vulnérable aux attaques MITM, de type DNS Changer, DNS Replay ou redirection illégitime, principalement utilisées à des fins de hacktivisme, de phishing, de défacement de sites Web ou de vol de données.

Détournement de DNS (DNS Tunneling) : l’attaquant exploite le DNS tel un canal caché pour contourner les mécanismes de sécurité classiques. Les données sortantes et entrantes communiquées sont respectivement encapsulées dans des requêtes et réponses DNS. Le programme malveillant installé sur un hôte peut alors contacter son opérateur (le serveur de commande et de contrôle) et transférer les données dérobées ou exécuter des commandes sur l’hôte sans être détecté.

Détournement de noms de domaine : l’attaquant dirige l’utilisateur vers un domaine piraté imitant un domaine légitime, généralement celui d’une institution financière ou d’une agence de voyage, afin de recueillir frauduleusement des données sensibles, comme des identifiants et codes d’accès, des numéros de sécurité sociale, des codes PIN ou les numéros de cartes de paiement.

DOS / DDOS : ces attaques ont gagné en ampleur, en rapidité et en sophistication en 2012. Il en existe principalement deux variantes : · celles qui ciblent directement les serveurs d’infrastructure DNS, elles incluent également les attaques récursives, par falsification d’adresse source et par saturation de serveurs DNS, déclenchées par les botnets ; · celles qui utilisent un serveur DNS pour lancer des attaques de type DDOS par amplification ou par réflexion. L’attaquant transmet de fausses requêtes au serveur DNS pour qu’il envoie massivement des réponses DNS non sollicitées à la machine visée. Il peut également envoyer de petites requêtes DNS à plusieurs serveurs DNS pour lancer discrètement une attaque DDOS massive par amplification.

Fast Flux : le fast flux consiste à modifier rapidement et fréquemment l’adresse IP d’un hôte en raccourcissant la durée de vie des enregistrements DNS. Le domain fluxing consiste quant à lui à attribuer plusieurs noms de domaine complets (Fully Qualified Domain Names, FQDN) à une même adresse IP, celle du serveur de commande et de contrôle (C&C).

Menaces persistantes avancées (Advanced Persistent Threats, APT) : ces attaques consistent à accéder à un réseau sans y être autorisé et sans être détecté pendant de longues périodes. Comme leur nom l’indique, les APT sont des programmes malveillants avancés, persistants par nature, entièrement dédiés à un objectif spécifique. Parmi ceux-ci figurent Conficker A/B/C, Torpig, Kraken ou encore TDSS/TLD4, plus récent, qui exploitent des DNS pour communiquer avec des serveurs C&C distants afin de collecter des codes malveillants et instructions pour mener à bien leurs attaques.

Vous l’aurez compris : les vecteurs d’attaques de DNS sont si nombreux et variés qu’une seule technologie ne saurait les contrer tous. La protection complète de l’infrastructure et des services DNS suppose donc une stratégie de sécurité fondée sur plusieurs mécanismes de défense : des pare-feu DNS (systèmes qui analysent le trafic en quête de menaces, détectent les anomalies et protègent le réseau en temps réel contre les domaines malveillants) ; la mise en œuvre de DNSSEC (signature numérique des enregistrements DNS) ; des systèmes de protection contre les DOS/DDOS, des systèmes de prévention des fuites de données et d’autres protocoles, des systèmes dédiés de détection des APT (mécanismes heuristiques et autres techniques d’analyse comportementale permettant de déceler les programmes APT qui utilisent le DNS pour communiquer avec des serveurs C&C).

Les serveurs DNS apparaissent donc comme des cibles de choix pour les cybercriminels et programmeurs mal intentionnés, qui y voient un moyen simple de contourner les mécanismes de défense traditionnels pour satisfaire leurs ambitions de guerre virtuelle, d’espionnage industriel, de hacktivisme, de soutien ou de contestation politique, de vol de données, de distribution de spams ou encore d’attaques DDOS coordonnées. Les pare-feux de nouvelle génération n’offrent pas une sécurité suffisante. Seule une stratégie de défense multidimensionnelle permettra aux entreprises de se prémunir contre ces programmes malveillants et les techniques modernes qui contournent les dispositifs de sécurité grâce au DNS.